Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Auswertung... TR/Dldr.IstBar.JA ? (https://www.trojaner-board.de/19973-bitte-um-auswertung-tr-dldr-istbar.html)

Munchkin 19.07.2005 11:01
Bitte um Auswertung... TR/Dldr.IstBar.JA ?
 
Hallo!
Unter Win2000 SP4 kann ich AVGuard nicht mehr starten, die manuelle Suche mit Antivir fand das Trojanische Pferd TR/Dldr.IstBar.JA,
E-Scan fand AltNet Spyware/Adware.
Die von Antivir erkannten zip-Dateien (s.u.) hab ich gelöscht,
bitte schaut im hjt-Log, was ich noch tun muß.
Vielen Dank!

Matthias


Auszug Antivir log:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
k70f1ao7.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
windows98secondeditionfullretail_RaNvXsCgKmBeAaFb.zip
ArchiveType: ZIP
--> install_cheat_001.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.JA
windows98secondeditionoem_UrYaDqYyEkLlNzSs.zip
ArchiveType: ZIP
--> install_cheat_001.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.JA
windows98seconedition4102222_KjYyCgOnReXzJzJn.zip
ArchiveType: ZIP
--> install_cheat_001.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.JA
yo8xjrmh.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt


Logfile of HijackThis v1.99.1
Scan saved at 10:54:10, on 19.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\CTHELPER.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\WINNT\system32\SNDVOL32.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\hijack\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\Belkin\Bluetooth Software\BTTray.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - file://C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SFX89.tmp\msxml3.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

chaosman 19.07.2005 21:08
@Munchkin
scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492


chaosman

Munchkin 21.07.2005 21:42
Hi!

Vielen Dank für die Antwort!
So richtig schlau werd ich aus dem scan aber leider auch nicht.
Wieso gibt er 2 gefundene Viren an, in der Liste find ich aber nur 1 Angabe?
Ad-aware und Spybot finden übrigens nichts.

In großer Bewunderung Eurer Werke!
Munchkin



Hier ist das von find erstellte E-scan log:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jul 21 21:25:03 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jul 21 21:20:29 2005 => File C:\WINNT\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.b. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Jul 21 21:25:03 2005 => Total Virus(es) Found: 2
Thu Jul 21 21:25:03 2005 => Total Errors: 158
Thu Jul 21 21:25:03 2005 => Time Elapsed: 00:11:15
Thu Jul 21 21:25:03 2005 => Total Objects Scanned: 13163
Thu Jul 21 21:13:24 2005 => Virus Database Date: 2005/06/24
Thu Jul 21 21:25:03 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Im original escan log war noch dies auffällig:
Thu Jul 21 21:14:20 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Jul 21 21:15:04 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Thu Jul 21 21:17:30 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

chaosman 22.07.2005 21:29
@Munchkin
im system würde (fast) nichts gefunden

lade spybot
programm installieren und updaten, danach scannen lassen, löschen was es vorschlägt.

chaosman

Munchkin 22.07.2005 22:17
Hallo Chaosman!

Vielen Dank für die Hilfe!
Auch Spybot 1.4 fand nur Cookies, die nach Löschen beim erneuten Scan nicht mehr auftauchten.
Müss mich da die von escan gefundenen AltNet-Spyware nich so beunruhigen, oder grade ;)?

Vielen Dank nochmals

Munchkin

Haui45 23.07.2005 08:19
Zitat:
Thu Jul 21 21:25:03 2005 => Total Objects Scanned: 13163
Thu Jul 21 21:13:24 2005 => Virus Database Date: 2005/06/24
  1. eScan wurde nicht aktualisiert.
  2. Bei deinem langen HjT-Log kann ich mir nicht vorstellen, dass 13163 Dateien schon alles sind. Hast du die Haken wirklich richtig gesetzt?

Munchkin 26.07.2005 20:38
Hi!
Vielen Dank für die Hilfe!

Hoffentlich hab ich diesmal was richtig gemacht...
Hab mit escan (updated, Haken richtig, abgesicherter Modus)) gescant und dann einiges gelöscht, nochmal gescant (find.bat texte unten).
Spybot lief im abgesicherten Modus nicht durch, fand im normalen Modus nur tracking cookies.
Jetzt findet escan nur noch Altnet Spyware wie hier:
http://www.trojaner-board.de/showthr...ghlight=AltNet
und viele Errors in der registry.

Hoffentlich ists dann gut...
Vielen Dank!

Munchkin

Erster Scan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 00:05:23 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Jul 24 01:23:16 2005 => File D:\essentials alt\a essentials 2003\system\sicherheit\f-prot\eicar.com infected by "EICAR-Test-File" Virus! Action Taken: No Action Taken.
Sun Jul 24 03:18:42 2005 => File E:\daten neu SIK\essent alt\a essentials 2003\system\sicherheit\f-prot\eicar.com infected by "EICAR-Test-File" Virus! Action Taken: No Action Taken.
Sun Jul 24 04:36:38 2005 => File E:\daten neu SIK\essent alt\a essentials 2003 1\system\sicherheit\f-prot\eicar.com infected by "EICAR-Test-File" Virus! Action Taken: No Action Taken.
Sun Jul 24 05:33:09 2005 => Scanning File F:\a NEW MP3net\mp3 nur hören\Placebo\Placebo - Every me, every you (J Cauty infected by scour.mp3
Sun Jul 24 06:26:13 2005 => Scanning Folder: I:\Programme\AVPersonal\INFECTED\*.*
Sun Jul 24 06:47:02 2005 => File I:\WINNT\system32\MMRTKRNL.EXE infected by "Backdoor.Win32.Delf.ach" Virus! Action Taken: No Action Taken.
Sun Jul 24 07:01:10 2005 => File J:\termin\43v\o.phpurlerror.htmgpr60lnktrailer3.avi infected by "Trojan-Clicker.HTML.IFrame.a" Virus! Action Taken: No Action Taken.
Sun Jul 24 08:58:58 2005 => File K:\a ebooks\ebooks\media\(Ebook - Html-Txt) - Complete Set Of ***** Manuals.zip infected by "Trojan.DOS.ControlDuSockets.a" Virus! Action Taken: No Action Taken.
Sun Jul 24 09:19:44 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 00:57:42 2005 => File D:\netpumperincoming\Net pumper pro 1.0\np1103pro\netpumper-1.10.3-setup.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Sun Jul 24 03:20:43 2005 => File E:\daten neu SIK\essent alt\a essentials 2003\system\snad********velation.zip tagged as not-a-virus:PSWTool.Win32.SnadBoy.11. No Action Taken.
Sun Jul 24 04:38:42 2005 => File E:\daten neu SIK\essent alt\a essentials 2003 1\system\snadb******ation.zip tagged as not-a-virus:PSWTool.Win32.SnadBoy.11. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sun Jul 24 09:19:44 2005 => Total Virus(es) Found: 10
Sun Jul 24 09:19:44 2005 => Total Errors: 247
Sun Jul 24 09:19:44 2005 => Time Elapsed: 09:37:22
Sun Jul 24 09:19:44 2005 => Total Objects Scanned: 315806
Sat Jul 23 23:40:48 2005 => Virus Database Date: 2005/07/23
Sun Jul 24 09:19:44 2005 => Virus Database Date: 2005/07/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~


Zweiter Scan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jul 26 00:46:41 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jul 26 02:04:22 2005 => File D:\essentials alt\a essentials 2003\system\sicherheit\f-prot\eicar.com infected by "EICAR-Test-File" Virus! Action Taken: No Action Taken.
Tue Jul 26 04:00:01 2005 => File E:\daten neu SIK\essent alt\a essentials 2003\system\sicherheit\f-prot\eicar.com infected by "EICAR-Test-File" Virus! Action Taken: No Action Taken.
Tue Jul 26 05:17:38 2005 => File E:\daten neu SIK\essent alt\a essentials 2003 1\system\sicherheit\f-prot\eicar.com infected by "EICAR-Test-File" Virus! Action Taken: No Action Taken.
Tue Jul 26 06:13:53 2005 => Scanning File F:\a NEW MP3net\mp3 nur hören\Placebo\Placebo - Every me, every you (J Cauty infected by scour.mp3
Tue Jul 26 07:06:41 2005 => Scanning Folder: I:\Programme\AVPersonal\INFECTED\*.*
Tue Jul 26 09:50:23 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jul 26 09:50:23 2005 => Total Virus(es) Found: 4
Tue Jul 26 09:50:23 2005 => Total Errors: 247
Tue Jul 26 09:50:23 2005 => Time Elapsed: 09:26:22
Tue Jul 26 09:50:23 2005 => Total Objects Scanned: 307527
Mon Jul 25 22:49:29 2005 => Virus Database Date: 2005/07/23
Tue Jul 26 00:22:43 2005 => Virus Database Date: 2005/07/25
Tue Jul 26 09:50:23 2005 => Virus Database Date: 2005/07/25
Tue Jul 26 20:36:32 2005 => Virus Database Date: 2005/07/25
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19