Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   wieder Trojaner? (https://www.trojaner-board.de/14476-trojaner.html)

may 25.02.2005 07:43
wieder Trojaner?
 
Hallo,
mein Schutzprogramm meldet laufend Eindringungsversuche von Sinit Trojan.
Habe e-Scan durchgeführt und folgendes Ergebnis erhalten:

File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

File C:\System Volume Information\_restore{343E0FBC-05F2-4084-8128-81C5C33FB0DE}\RP193\A0135895.dll infected by "not-a-virus:AdWare.TimeSink.c" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{343E0FBC-05F2-4084-8128-81C5C33FB0DE}\RP247\A0175130.exe infected by "not-a-virus: Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

das habe ich mittels Hijack automatisch auswerten lassen und bekomme dies:

File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken
Unbekannt Laufender Prozess. (autoload.exetaggedasnot-a-virus:Tool.Win32.Autoloader.NoActionTaken.)
Dies ist ein unbekannter Prozess.
File C:\WINDOWS\Priggle[pgg-10240,de,13f409891f97793a30dcec4cbe71d49a].exe infected by "not-a-virus: Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken
Unbekannt Laufender Prozess. (Priggle[pgg-10240,de,13f409891f97793a30dcec4cbe71d49a].exeinfectedby"not-a-virus: Dialer.Win32.Intexdial"Virus.ActionTaken:NoActionTaken.)
Dies ist ein unbekannter Prozess.
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

Mein Problem ist nun, dass ich mit dem Windows Suchprogramm diese "Priggle"-Datei nicht finden kann um sie zu löschen. Was kann ich machen??

Ich denke, trotz Anzeige No Action Taken ist sie der Störfaktor.
Wie komme ich an die Datei ran??

Lieben Dank für Eure Hilfe im voraus
may

Lutz 25.02.2005 09:49
Poste doch mal bitte ein aktuelles Log von HijackThis, damit wir uns das mal anschauen können.

BTW: Hast Du im WindowsExplorer eingestellt, dass unter 'Versteckte Dateien' alle Dateien angezeigt werden und Dateinamenerweiterungen bei bekannten Dateien nicht ausgeblendet werden?

may 25.02.2005 10:30
Hallo Lutz,
versteckte Ordner und Dateien ausblenden ist aktiviert

mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:28:19, on 25.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Personal Security Service\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Personal Security Service\Common\FSMA32.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Personal Security Service\Common\FSMB32.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Dokumente und Einstellungen\Birgitt\Eigene Dateien\Eigene eBooks\PostDa\PostDa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Personal Security Service\Common\FCH32.EXE
C:\Programme\Personal Security Service\Common\FAMEH32.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Birgitt\Eigene Dateien\Eigene eBooks\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C64 Series (Kopie 1)" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C64 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C64 Series (Kopie 1)" /M "Stylus C64" /EF "HKCU"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O4 - Global Startup: Verknüpfung mit PostDa.exe.lnk = C:\Dokumente und Einstellungen\Birgitt\Eigene Dateien\Eigene eBooks\PostDa\PostDa.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/288b1ed2...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093079138109
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43D9BC13-746D-4783-99AF-6464677161F6}: NameServer = 192.168.2.1
O23 - Service: T-TeleSec Personal Security Service (BackWeb Plug-in - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

nochmal Danke

Lutz 25.02.2005 10:39
Zitat:
versteckte Ordner und Dateien ausblenden ist aktiviert
Wenn es sich jetzt nicht um einen Fehler der doppelten Verneinung handelt *grins*, dann deaktiviere diese Option einmal und schau, ob Du die Datei dann findest.
Das Log schaue ich mir gleich mal näher an...

may 25.02.2005 10:42
sorry, hab was vergessen:

" Erweiterung bei bekannten Dateitypen ausblenden" ist nicht aktiviert

Lutz 25.02.2005 10:46
Also die Log-Datei ist imho unverdächtig. Ich konnte nichts ungewöhnliches entdecken...

may 25.02.2005 11:05
hmmm....
habe nochmal suchen lassen: gefunden in der MWAV.LOG - logisch

frage mich nur, wenn e-Scan sie auflistet, wo sie dann ist?????

kann ich sie im LOG löschen? macht das überhaupt Sinn??

Lutz 25.02.2005 11:28
Dort sollte sie sein -> File C:\WINDOWS
wie gesagt, deaktiviere mal die Option 'Versteckte Ordner und Dateien ausblenden'

Falls die Datei nur noch hier gefunden wird -> C:\System Volume Information\_restore, deaktiviere mal die Systemwiederherstellung (http://www.tu-berlin.de/www/software/virus/sysres.shtml) boote den Rechner neu und aktiviere anschließend die Systemwiederherstellung. Lösche dann mal die Datei C:\bases\MWAV.LOG und scanne danach noch einmal neu mit Escan. Poste anschließend noch einmal den Inhalt der MWAV.LOG.

may 25.02.2005 12:37
Danke Lutz,

falls ich es heute nicht mehr schaffe, melde ich mich am Montag wieder

ich wünsche Dir ein schönes Wochenende - bis dann

Gruß may

may 28.02.2005 08:11
@ Lutz

habe deine Tipps erledigt, habe mich auch im System Volume.... umgesehen, konnte die entsprechenden Dateien dort aber nicht finden.

Ergebnis vom neuen eScan:
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

diese Datei ist 23,5 KB groß und vom 31.10.2003

Die Angriffe gehen weiter..... weiß jetzt nicht, was ich noch machen soll :(

Gruß may

cacatoa 28.02.2005 09:30
Mach auch einen Haken bei: "Inhalte von Systemordnern anzeigen"...
cacatoa

may 02.03.2005 06:52
gibt es vielleicht noch ein anderes Scan-Programm (nicht e-Scan) welches ich benutzen könnte?

stehe hier unter "Dauerbeschuß" :snyper:


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131