Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "Tolle" Links und Popups (https://www.trojaner-board.de/13251-tolle-links-popups.html)

wirkau 03.02.2005 21:20
"Tolle" Links und Popups
 
Hallo Leute,
12 Tage Urlaub, ein paar "Kollegen" die meinen Rechner "nutzen" und jetzt steppt der Bär.
Einige sehr sonderbare Prozesse, die IE-Startseite fliegt immer weg, und wechselnde Popups (u.a. ADS-Spywareremover:zzwhip: ). Die mit bekannten Prozesse hab ich mit OK markiert die absolut unbekannten mit ???
Kann wer helfen

Logfile of HijackThis v1.98.2
Scan saved at 20:58:35, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
??? C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
OK C:\Programme\AVPersonal\AVGUARD.EXE
OK C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
OK C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
OK C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
OK C:\Programme\Analog Devices\SoundMAX\Smax4.exe
OK C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
OK C:\Programme\AVPersonal\AVGNT.EXE
??? C:\WINDOWS\system32\appce.exe
???C:\WINDOWS\system32\ipns.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Schutzsoftware\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {726D2B7F-C41E-24A8-CA2E-30DD6D5653C9} - C:\WINDOWS\ipeo.dll
O4 - HKLM\..\Run: [ipns.exe] C:\WINDOWS\system32\ipns.exe


Danke schon mal euch allen!
Gruß
Peter

chaosman 03.02.2005 21:23
@wirkau
lade dir die aktuelle version von HJT
hier

lade escan
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman

wirkau 03.02.2005 21:27
Hallo chaosman,
schon mal DANKE für die schnelle Antwort.
Fange gleich an.
Gruß
Peter

wirkau 04.02.2005 06:45
Hallo Leute,
da bin ich wieder. Hier das Ergebnis. Hängt aber noch mal als TXT dran.

Thu Feb 03 21:54:05 2005 => File C:\WINDOWS\autoheal.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:06 2005 => File C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:06 2005 => File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:10 2005 => File C:\WINDOWS\mstasks1.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:54:44 2005 => File C:\WINDOWS\System32\eakoeee.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:55:43 2005 => File C:\WINDOWS\System32\odfyehp.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:55:45 2005 => File C:\WINDOWS\System32\otmsd.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:55:57 2005 => File C:\WINDOWS\System32\sby.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken.
Thu Feb 03 21:59:06 2005 => File C:\Burning\Fuer_Ilja\Schutzsoftware\hijackthis_198\backups\backup-20050203-202012-936.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:04:00 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchYexe9.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:04:41 2005 => File C:\Dokumente und Einstellungen\frank\Anwendungsdaten\oute.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:10:06 2005 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\AMAX.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.001 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.002 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.003 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.004 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.VIR infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS[1].HTM.VIR infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\ETILE.EXE.001 infected by "Trojan-Clicker.Win32.Agent.af" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\ETILE.EXE.VIR infected by "Trojan-Clicker.Win32.Agent.af" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\INSTALLER2.EXE.VIR infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSBB.EXE.VIR infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.VIR infected by "Trojan-Downloader.Win32.WinShow.am" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSTASKS2.EXE.VIR infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.001 infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.002 infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.VIR infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\XLOLA.ECSTAZY[1].HTM.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:26 2005 => File C:\RECYCLER\S-1-5-21-323552604-226954533-428635543-1204\Dc149\backup-20050203-202012-936.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:41 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP75\A0062367.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:41 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP75\A0062368.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:50:48 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP76\A0063304.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:53:03 2005 => File C:\WINDOWS\autoheal.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:53:03 2005 => File C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:53:04 2005 => File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:59:56 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ5.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.
Thu Feb 03 22:59:56 2005 => File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:05:14 2005 => File C:\WINDOWS\mstasks1.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:14:10 2005 => File C:\WINDOWS\system32\eakoeee.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:15:16 2005 => File C:\WINDOWS\system32\odfyehp.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:15:26 2005 => File C:\WINDOWS\system32\otmsd.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
Thu Feb 03 23:15:47 2005 => File C:\WINDOWS\system32\sby.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken.

chaosman 04.02.2005 08:48
@wirkau
ich würde mal zum chef gehen.
du hast vieles im system, der hier
http://www.sophos.de/virusinfo/analy...ojagentec.html
ist der übelste.
Troj/Agent-EC ist ein Backdoortrojaner, der im Hintergrund auf eingehende Verbindungen wartet und remoten Eindringlingen die Steuerung über den infizierten Computer ermöglicht.

Troj/Agent-EC versucht, alle auf dem Computer aktiven Sicherheitsanwendungen zu beenden, und wartet auf Benachrichtigungen, dass neue Updates heruntergeladen und installiert werden können.

deswegen kann ich dir nur empfehlen dein system neuaufzusetzen, da es wahrscheiilich kompromittiert ist.
http://www.mathematik.uni-marburg.de...ompromise.html
hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55