Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bin ich wieder clean? (https://www.trojaner-board.de/15045-clean.html)

ArmerUser 07.03.2005 19:43
Bin ich wieder clean?
 
Hallo zusammen!

Habe mir den Trojaner TR/Drop.Delf.DJ.3 gefangen, der von AntiVir entdeckt wurde. Habe ihn durch Antivir löschen lassen. Außerdem bekam ich folgende Meldung:

C:\DOKUMENTE UND EINSTELLUNGEN\STEFAN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\O4DV365A\T-7968[1].HTM
Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Habe ich auch löschen lassen. Ist mein System nun wieder sauber?
Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:38:31, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\hijackthis1982\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253


Vielen Dank für Hilfe!

Cidre 07.03.2005 19:50
Hallo,

das Log-File sieht soweit sauber aus.
Wo wurde denn der TR/Drop.Delf.DJ.3 von AntiVir gefunden?
Lösche die Temporary Internet Files und führe vorsichtshalber mal dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

EDIT:
Erstelle auch noch ein aktuelles HJT Log-File mit der neuen Version 1.99.1.

ArmerUser 07.03.2005 23:11
Hier also die Virus Log Informationen von e-scan und das Log-File mit HJT 1.99.1



Mon Mar 07 21:25:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 07 21:25:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR

Mon Mar 07 21:25:53 2005 => File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Mon Mar 07 21:07:39 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:38:24 2005 => File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:48:45 2005 => File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Mar 07 22:52:38 2005 => ***** Scanning complete. *****

Mon Mar 07 22:52:38 2005 => Total Files Scanned: 67443
Mon Mar 07 22:52:38 2005 => Total Virus(es) Found: 4
Mon Mar 07 22:52:38 2005 => Total Disinfected Files: 0
Mon Mar 07 22:52:38 2005 => Total Files Renamed: 0
Mon Mar 07 22:52:38 2005 => Total Deleted Files: 0
Mon Mar 07 22:52:38 2005 => Total Errors: 33
Mon Mar 07 22:52:38 2005 => Time Elapsed: 01:45:22
Mon Mar 07 22:52:38 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 22:52:38 2005 => Virus Database Count: 120659

Mon Mar 07 22:52:38 2005 => Scan Completed.

Mon Mar 07 22:54:19 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 22:54:19 2005 => Virus Database Count: 120659
Mon Mar 07 22:54:37 2005 => AV Library Unloaded (3)...





Logfile of HijackThis v1.99.1
Scan saved at 23:06:38, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\MistUndVerflucht\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Was bleibt zu tun?

Danke für Hilfe!

ArmerUser 08.03.2005 11:03
Hallo!
Wollte nochmal die Bitte stellen über die neuen Protokolle drüberzuschauen.
Wäre dankbar für Rückmeldung.

chaosman 08.03.2005 11:21
@ArmerUser
der hier ist im system
http://www.sophos.de/virusinfo/analy...ojagentec.html

deswegen kann ich dir leider nur raten dein system neuaufzusetzen(formatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

ArmerUser 08.03.2005 13:26
Danke für die Antwort!

Möchte aber nochmal nachfragen: Ist wirklich mein System von dem Backdoor.Win32.Agent.ec befallen oder ist das nur noch der Rest, der im Antivir Infected-Ordner gelegen hat (und den ich inzwischen geleert habe)?

Was ist mit dem eigentlichen Plagegeist TR/Drop.Delf.DJ.3 wegen dem ich mich eigentlich gemeldet habe?


Sorry für den Zweifel aber wer macht schon gerne sein System platt?!

chillout 08.03.2005 13:45
Es gibt eine Automatische Auswertung, schau mal hier:

http://www.hijackthis.de/index.php

Da siehst Du dann, was Di fixen solltest. Immer die Bemerkungen mit anschauen!

ArmerUser 08.03.2005 14:08
Danke für den Tipp!

Log-File sieht nach der automatischen Auswertung sauber aus. Was aber sagt mir das e-scan Ergebnis (siehe unten)?

Wär doch für eine persönliche Rückmeldung bezüglich Log-File und E-scan dankbar!


Hier noch mal die aktuellen Protokolle:


Logfile of HijackThis v1.99.1
Scan saved at 13:56:59, on 08.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\MistUndVerflucht\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




Mon Mar 07 21:25:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 07 21:25:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR

Mon Mar 07 21:25:53 2005 => File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Mon Mar 07 21:07:39 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:38:24 2005 => File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:48:45 2005 => File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



Danke für Hilfe!

ArmerUser 08.03.2005 18:54
Hallo zusammen!

Bin wieder hier und wäre dankbar, wenn sich nochmal jemand meiner Probleme annehmen könnte...

Cidre 08.03.2005 19:11
Es stellt sich die Frage, ob dieser Backdoor.Win32.Agent.ec jemals aktiv gewesen ist oder er 'nur' brach auf deiner Festplatte war und von AntiVir entfernt wurde?
Aufschlussreich für die weitere Vorgehensweise wäre es, wenn du im Report (sofern es nicht überschrieben wurde) von AntiVir nachsiehst, WO dieser denn gefunden wurde.

ArmerUser 08.03.2005 19:38
Der Backdoor wurde von mir damals mithilfe von Antivir gelöscht. Ein von mir in eurem Forum eingestelltes LogFile und das Escan Protokoll wurden als sauber eingestuft, so dass der Backdoor wohl gar nicht aktiv war. Was aber ist eigentlich mit meinem neuen "Freund" TR/Drop.Delf.DJ.3, den ich auch direkt mit Antivir gelöscht habe?

Cidre 08.03.2005 19:43
Zitat:
Was aber ist eigentlich mit meinem neuen "Freund" TR/Drop.Delf.DJ.3, den ich auch direkt mit Antivir gelöscht habe?
Nachdem ich nicht über hellseherische Fähigkeiten verfüge und ungern spekuliere...

Vermutlich wurde dieser im Ordner Temporary Internet Files gefunden oder vielleicht auch nicht.

ArmerUser 08.03.2005 19:56
Was heißt das nun?

Chaosman hat mir Format C empfohlen oder soll ich nochmal scannen? Ist mein escan sauber; und was sagt das LogFile??????
Sauber oder nicht?

Sorry - falls ich begriffsstutzig sein sollte?!

Cidre 08.03.2005 20:19
Zitat:
Chaosman hat mir Format C empfohlen oder soll ich nochmal scannen?
Es kann mit Sicherheit nie schaden, dass man im Zweifelsfall einmal zu oft ein Neuaufsetzen des Systems empfiehlt und ausführt als zu wenig.

Zitat:
Sauber oder nicht?
Wie ich bereits sagte, das Log-File weist keine mehr Auffälligkeiten auf!
Leere den Quarantäne Ordner von AntiVir und scanne sicherheitshalber, wenn es dich beruhigt, nochmals mit eScan AntiVirus.

Danach arbeitest du mindestens folgende Punkte vom Link in meiner Sigantur ab:
3, 5 und 6

ArmerUser 08.03.2005 22:49
Habe den Quarantäne Ordner geleert, IE sicherer konfiguriert, SPII aufgespielt, das System upgedatet und Firefox runtergeladen und als Standardbrowser festgelegt.
Gibt es für Firefox auch eine Anleitung, wie man ihn am sichersten konfiguriert?


Werde dann jetzt nochmal escan drüber laufen lassen.

Cidre 08.03.2005 23:13
Zitat:
Gibt es für Firefox auch eine Anleitung, wie man ihn am sichersten konfiguriert?
Firefox ist von Haus aus schon sicherer konfiguriert als der IE. Allerdings kannst du auch hier noch weitere sichere Einstellungen vornehmen -> http://www.gwdg.de/service/netze/www...r/firefox.html

ArmerUser 09.03.2005 14:15
Mit überarbeitetem System melde ich mich (hoffentlich zum letzten mal) zurück. Hier das aktuelle Log-file und das Ergbnis von Escan. Leider immer noch drei Meldungen; was bleibt zu tun?

Danke für Hilfe!

Logfile of HijackThis v1.99.1
Scan saved at 14:05:03, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\Programme\MistUndVerflucht\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




Wed Mar 09 13:41:11 2005 => ***** Scanning complete. *****

Wed Mar 09 13:41:11 2005 => Total Files Scanned: 76951
Wed Mar 09 13:41:11 2005 => Total Virus(es) Found: 3
Wed Mar 09 13:41:11 2005 => Total Disinfected Files: 0
Wed Mar 09 13:41:11 2005 => Total Files Renamed: 0
Wed Mar 09 13:41:11 2005 => Total Deleted Files: 0
Wed Mar 09 13:41:11 2005 => Total Errors: 32
Wed Mar 09 13:41:11 2005 => Time Elapsed: 02:59:34
Wed Mar 09 13:41:11 2005 => Virus Database Date: 2005/03/07
Wed Mar 09 13:41:11 2005 => Virus Database Count: 120659

Wed Mar 09 13:41:11 2005 => Scan Completed.

Wed Mar 09 14:00:01 2005 => Virus Database Date: 2005/03/07
Wed Mar 09 14:00:01 2005 => Virus Database Count: 120659
Wed Mar 09 14:00:11 2005 => AV Library Unloaded (3)...


File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Haui45 09.03.2005 14:18
Die Funde von eScan sind harmlos.
Log schaut sauber aus.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55