Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte um eure hilfe (https://www.trojaner-board.de/17904-bitte-um-hilfe.html)

sonne98 17.05.2005 14:10
bitte um eure hilfe
 
hab ein problem
mein antivir hat folgendes gefunden

C:\WINNT\system32
veyegubi.exe
ArchiveType: RAR SFX (self extracting)
--> fotehulo.exe
[FUND!] Enthält Signatur des Wurmes Worm/SdBot.35105
--> otebeci.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.EN

veyegubi.exe hab ich in WINNT\system 32 gefunden und gelöscht.

aber fotehulo und otebeci find ich nicht.

logfile von hijackthis hier

Logfile of HijackThis v1.99.1
Scan saved at 12:50:57, on 17.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\neue programme\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos DSL
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINNT\System\SmWizard.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINNT\system32\TTTimer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [****] C:\Programme\SlySoft\****\****.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\****\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\****\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex...amesplayer.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe

cronos 17.05.2005 15:33
Lade dir zunächst Escan runter und führe es gemäß folgender Anleitung aus:

http://www.trojaner-board.de/showthread.php?t=17492

Teile uns die Funde mit.

sonne98 18.05.2005 17:02
hallo cronos :-)

habe escan im abgesicherten modus gemacht
hier ergebnis

File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed May 18 17:52:15 2005 => ***** Scanning complete. *****
Wed May 18 17:52:15 2005 => Total Objects Scanned: 32206
Wed May 18 17:52:15 2005 => Total Virus(es) Found: 1
Wed May 18 17:52:15 2005 => Total Disinfected Files: 0
Wed May 18 17:52:15 2005 => Total Files Renamed: 0
Wed May 18 17:52:15 2005 => Total Deleted Objects: 0
Wed May 18 17:52:15 2005 => Total Errors: 19
Wed May 18 17:52:15 2005 => Time Elapsed: 01:10:12
Wed May 18 17:52:15 2005 => Virus Database Date: 2005/05/02
Wed May 18 17:52:15 2005 => Virus Database Count: 127997

Wed May 18 17:52:15 2005 => Scan Completed.

cronos 18.05.2005 17:06
Zitat:
Zitat von Sonne98
Wed May 18 17:52:15 2005 => Virus Database Date: 2005/05/02
Leider hast du Escan vorher nicht upgedatet.So ist das Ergebnis leider nutzlos.

Zitat:
Zitat von cidre
Um eScan zu aktualisieren, musst du nun zum Ordner 'C:\Bases_X' navigieren und die 'kavupd.exe' ausführen. Ein kleines DOS - Fenster öffnet sich, Signaturen werden erneuert und wird nach getaner Arbeit wieder geschlossen.
Also Escan updaten, und scan im abgesicherten Modus wiederholen.

Sorry

sonne98 21.05.2005 11:18
hallo cronos

hab jetzt tage lang versucht den escan upzudaten,er macht auch das dos fenster auf und installiert,aber nach dem scan zeigt er mir folgendes

File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1gbdahxy.default\Mail\Local Folders\Inbox infected by "not-a-virus:AdWare.Casino.b" Virus. Action Taken: No Action Taken.

Sat May 21 12:05:30 2005 => ***** Scanning complete. *****
Sat May 21 12:05:30 2005 => Total Objects Scanned: 31249
Sat May 21 12:05:30 2005 => Total Virus(es) Found: 1
Sat May 21 12:05:30 2005 => Total Disinfected Files: 0
Sat May 21 12:05:30 2005 => Total Files Renamed: 0
Sat May 21 12:05:30 2005 => Total Deleted Objects: 0
Sat May 21 12:05:30 2005 => Total Errors: 15
Sat May 21 12:05:30 2005 => Time Elapsed: 01:09:07
Sat May 21 12:05:30 2005 => Virus Database Date: 2005/04/06
Sat May 21 12:05:30 2005 => Virus Database Count: 124827

das ist doch ein noch älteres datum? oder?

Meerjungfraumann 21.05.2005 19:24
Hallo Sonne,
versuch mal im abgesicherten Modus Deinen Virenscanner nochmal laufen zulassen.Vielleicht endeckt und entfernt er die Dateien dann.Ansonsten noch eine Möglichkeit gehe zu www.symantec.de und gehe zur Virenenzeklopydie gib den gefundenen Virusnamen ein kriegst dann meisten ein Hilfe das Problem zu lösen.

Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) :teufel3:

Meerjungfraumann 21.05.2005 19:29
Hallo Sonne,
hier nochmal eine genauere Adresse von Symantec http://securityresponse.symantec.com...prodid=nav2005
brauchst dann net suchen.

Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) :teufel2:

sonne98 22.05.2005 09:37
hallo meerjungframann :-)

danke für deine hilfe :-)

werde es mal versuchen!

lg
sonne98

Rene-gad 22.05.2005 09:42
@sonne98
Zitat:
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1gbdahxy.default\Mail\Local Folders\Inbox infected by "not-a-virus:AdWare.Casino.b"
Mache dein Thunderbird auf und suche die E-mail, die den infizierten Anhang enthalt, lösche die komplett, auch aus dem Papierkorb.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55