Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdächtige EXE-Dateien in C:\Windows\Temp (https://www.trojaner-board.de/13212-verdaechtige-exe-dateien-c-windows-temp.html)

peterchenhansen 03.02.2005 11:34

Verdächtige EXE-Dateien in C:\Windows\Temp
 
Hallo,

Habe neuerdings ständig diverse EXE-Dateien im Temp-Ordner. Sie ändern bei jedem Neustart den Namen, und haben als Icon alle einen kleinen Hund. Einer dieser Anwendungen wird anscheinend wahllos bei jedem Systemstart ausgeführt. Was kann das sein? Diverse Virenscanner und Spybot finden weder Viren noch Trojaner..

Hier das Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 11:32:14, on 03.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\OfficeScan NT\pccntupd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Microsoft Office\Office\POWERPNT.EXE
C:\WINDOWS\Temp\BQ4ADB.EXE
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\mbe\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://heureka/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.condat.de;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cs-4players.de.tk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097851439641
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {FFFFFFFF-CAFE-BABE-BABE-10AA0055595A} - http://www.truesuite.com/truewallet/TrueWalletInstall.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe

HerrKautz 03.02.2005 13:39

Hallo,

Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

peterchenhansen 03.02.2005 15:47

Hallo,

hier kommt das Ergebnis von escan. Wie man sieht, hatte mein Antivirus-Programm die infizierten Dateien bereits in sein Quarantäne-Verzeichnis verschoben.. Ob einer dieser Viren schon aktiv ist, kann ich aus dem Logfile allerdings nicht sehen, oder?

Gruss
Peterchen

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm
Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR
Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.


Zitat:

Zitat von HerrKautz
Hallo,

Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)


HerrKautz 03.02.2005 16:50

Hast du den Crack ausgeführt:

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jwinfluxb.html

Wenn ja heisst das Format c:!

Ansonsten lösch den Ordner von deinem AV!


Gruss

peterchenhansen 03.02.2005 17:05

hallo,

also der bei sophos beschriebene winflux-trojaner scheint es ja in diesem fall nicht zu sein. ich hab dort mal unter briss gesucht - die dort aufgeführten varianten a und b scheinen nicht so dramatisch zu sein.

gruss
peterchen

Zitat:

Zitat von HerrKautz
Hast du den Crack ausgeführt:

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jwinfluxb.html

Wenn ja heisst das Format c:!

Ansonsten lösch den Ordner von deinem AV!


Gruss


HerrKautz 03.02.2005 17:07

Hast du den Crack ausgeführt,ja oder nein?

Btw woher weisst du welchen du genau hast,der Trojaner heisst Spy...,dies bedeutet in der Regel Backdoorfunktion!

diebad 17.07.2005 15:26

Hallo Zusammen,

die Datei im Temp-Folder erscheint zwar zunächst verdächtig, ist es aber nicht. Warum wird das File von keinem Virenscanner gefunden und auch nicht als Spyware erkannt?

Ganz einfach, es ist werder ein Trojaner noch Spyware o.a., sondern ein Prozess des TrendMicro OfficeScan Virenscaners. Jeder der diesen netten "Hund" (Watchdog) auf seinem Rechner hat setzt sicherlich auch OfficeScan ein. Einfach mal Officescan beenden, dann verschwindet auch der Child-Prozess. Officescan wieder starten, und das ist er wieder, allerdings eben mir einem andern Filename.

Grüße

P.D.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131