Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Archiv (https://www.trojaner-board.de/13154-trojaner-archiv.html)

Andrejof 01.02.2005 22:22
Trojaner Archiv
 
Ich glaube, auf meinem PC sind ein paar Trojaner, und weiss nicht, ob ich sie noch jemals wegbringen kann.
Einer heisst irgendwie Dyfuca, und der andere Heuristic/Virus.Win32.
Habe mal einen Hijackthis Test gemacht, habe aber keine Ahnung, ob etwas Schlechtes dabei ist. Kann mir jemand helfen?

Bei escan kam eine Anleitung zur Beseitigung oder des Archivs, oder um es unschädlich zu machen, weiss auch nicht, jedenfalls hiess es, dass man zuerst die Systemwiederherstellung deaktivieren muss, und dann übernehmen, und danach das Kästchen wieder auszuschalten.
Weiss jemand für was das gut sein soll?

Fri Nov 15 03:14:23 2002 => File C:\_RESTORE\ARCHIVE\FS36.CAB infected by "Trojan-Downloader.Win32.Dyfuca.ds" Virus. Action Taken: No Action Taken.
Im Ordner C:\_RESTORE\ARCHIVE\ wurden etwa 94 .cab Dateien mit immer wieder anderen Endungen gefunden.

Logfile of HijackThis v1.99.0
Scan saved at 00:02:56, on 15.11.2002
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE
C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\PROGRAMME\UTILITIES\ANTIVIR\AVGCTRL.EXE
C:\PROGRAMME\UTILITIES\ZONEALARM\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\UTILITIES\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\UTILITIES\POST IT SW NOTES\PSN2LITE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOBNZ08.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\SWTRAY.EXE
C:\PROGRAMME\UTILITIES\POST IT SW NOTES\PSNGIVE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\UTILITIES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\UTILITIES\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRAMME\UTILITIES\ZONEALARM\ZONEALARM\ZLCLIENT.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMME\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\Utilities\WinZip\WZQKPICK.EXE
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programme\Utilities\Post it SW notes\Psn2Lite.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Startup: QuickShelf.lnk = E:\Tools\Lexi Rom 2\QS96D.EXE
O4 - Startup: SwTray.lnk = C:\Programme\Microsoft Hardware\Game Controllers\SWTRAY.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/504941.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://install.anark.com/client/vers...n/AMClient.cab

chaosman 01.02.2005 22:24
@Andrejof
poste bitte folgendes
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Andrejof 01.02.2005 22:32
Die folgende Datei war der einzige Ort, an dem ein Trojaner gefunden wurde.


File C:\_RESTORE\ARCHIVE\FS36.CAB infected by "Trojan-Downloader.Win32.Dyfuca.ds" Virus. Action Taken: No Action Taken.

Habe den Test nachher nochmals gemacht, und dabei wurde der oben genannte Trojaner nicht mehr gefunden.
Dafür aber noch Andere:
File C:\WINDOWS\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

File C:\Recycled\Dc23.zip tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Recycled\Dc42.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
File C:\Temp\Palm Games\Install\palmsoftware - downloads\vnc-3.3.3r2_x86_win32 - Access any PC off your PC!.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.

chaosman 01.02.2005 22:37
@Andrejof
diese ordner löschen, wie unten beschrieben wird
kuckst du hier

Zitat fawny
Restore-Ordner in Root der Platten löschen
Plattform: Win ME


Die Systemwiederherstellung von Windows ME speichert alle Zwischenpunkte im Restore-Ordner eines jeden Laufwerks ab. Ist man mit seinem System zufrieden, hat zuvor aber unnötige Zwischenpunkte, brauchen diese dennoch Platz auf der Festplatte, da Windows ME die älteren erst löscht, wenn das Limit gemäß der Systemsteuerung erreicht ist.

Im DoS-Modus kann man den Ordner aber dennoch löschen, wenn man das System über eine DOS-Diskette oder mit der Startdiskette startet und im DOS verbleibt. Mit dem Befehl deltree /c c:\_restore wird der Ordner auf C gelöscht. Windows erstellt den Ordner später neu.

Will man den Ordner komplett löschen und nicht mehr sehen, muss man erst die Systemwiederherstellung abschalten, danach den Systemdateienschutz abschalten und nach einem Neustart im DOS-Mode noch die _Restore-Ordner löschen.

http://www.wintotaldb.de/Tipps/URubr...RBID=2&URBID=9

chaosman

Andrejof 02.02.2005 13:28
Danke für diese Informationen,
Habe mich bis jetzt immer gefragt, für was dieses Archiv ist, jetzt weiss ich's. Aber ich glaube, ich muss gar nicht in den Dos Modus wechseln.
Habe mal kurz die Systemwiederherstellung deaktiviert, dann wieder aktiviert. Und jetzt wird dieser Trojaner mit escan nicht mehr gefunden, welcher zuvor im Archiv sass. Weiss jetzt nicht, ob der Trojaner ganz weg ist. Glaube nicht. Komisch, weiss jemand wieso der Troj. plötzlich weg ist?

rich20 28.02.2005 15:28
Wenn er im "Im Ordner C:\_RESTORE\ARCHIVE\" gewesen ist, ist er, wenn du die Systemwiederherstellung deaktiviert hast und danach neu gestartet hast, deshalb weg, da er zusammen mit deinen Systemwiederherstellungspunkten gelöscht worden ist. Die Wiederherstellungspunkte sind dann allerdings auch weg.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19