Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   backdoor agent (https://www.trojaner-board.de/22269-backdoor-agent.html)

DJ Ötzi 29.09.2005 14:07
Wed Sep 28 15:12:11 2005 => Scanning File C:\WINDOWS\System32\kernel32.dll
Wed Sep 28 15:12:11 2005 => Scanning File C:\WINDOWS\System32\ntoskrnl.exe
Wed Sep 28 15:12:11 2005 => Scanning File C:\WINDOWS\System32\ntkrnlpa.exe
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\hal.dll
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\win32k.sys
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\ntdll.dll
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\advapi32.dll
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\user32.dll
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\gdi32.dll
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\bootvid.dll
Wed Sep 28 15:12:12 2005 => Scanning File C:\WINDOWS\System32\command.com

Wed Sep 28 15:12:12 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Wed Sep 28 15:12:12 2005 => Loading Spyware Signatures from new External Database (Size: 144406).
Wed Sep 28 15:12:15 2005 => Indexed Spyware Databases Successfully Created...

Wed Sep 28 15:12:25 2005 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.
Wed Sep 28 15:12:25 2005 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Wed Sep 28 15:12:25 2005 => System found infected with kazaa Spyware/Adware ({1d6711c8-7154-40bb-8380-3dea45b69cbf})! Action taken: No Action Taken.
Wed Sep 28 15:12:25 2005 => System found infected with mybar Spyware/Adware ({3646c2bd-3554-49ca-8125-44deefb881de})! Action taken: No Action Taken.
Wed Sep 28 15:12:26 2005 => System found infected with mybar Spyware/Adware ({3f4d4f88-0198-4921-b630-957f3eb814e0})! Action taken: No Action Taken.
Wed Sep 28 15:12:26 2005 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Wed Sep 28 15:12:26 2005 => System found infected with kazaa Spyware/Adware ({c91e8926-d4be-4685-99f4-0d996b96bac0})! Action taken: No Action Taken.
Wed Sep 28 15:12:26 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken.
Wed Sep 28 15:12:27 2005 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Wed Sep 28 15:12:27 2005 => System found infected with kazaa Spyware/Adware ({1d6711c8-7154-40bb-8380-3dea45b69cbf})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with p2p networking Spyware/Adware ({f720b40f-3a38-4b22-b30d-dcf095d42498})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with myway Spyware/Adware ({0494d0d4-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({16097036-894c-4c00-a61f-93ca0d49a70e})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({258a3625-183b-4477-aee2-ea54df6d878d})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({2ed5af98-9258-45ba-b79b-06625c92f662})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({700dc0dd-f409-42e0-9de5-21ee1a2ba9fd})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with kazaa Spyware/Adware ({c91e8926-d4be-4685-99f4-0d996b96bac0})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({d273d427-57c6-4b12-860f-bbb8195f6e2a})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({fd42f6d3-7ab1-470c-979b-7996edc99099})! Action taken: No Action Taken.
Wed Sep 28 15:13:14 2005 => Offending Key found: HKLM\Software\magnet\handlers\kazaa !!!
Wed Sep 28 15:13:14 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKLM\Software\altnet !!!
Wed Sep 28 15:13:14 2005 => Object "topsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKLM\Software\kazaa !!!
Wed Sep 28 15:13:14 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKLM\Software\myway !!!
Wed Sep 28 15:13:14 2005 => Object "my way speedbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKLM\Software\p2p networking !!!
Wed Sep 28 15:13:14 2005 => Object "p2p networking Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKCU\Software\kazaa !!!
Wed Sep 28 15:13:14 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKCU\Software\p2p networking !!!
Wed Sep 28 15:13:14 2005 => Object "p2p networking Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:14 2005 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\gain publishing !!!
Wed Sep 28 15:13:14 2005 => Object "claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:15 2005 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\gain publishing !!!
Wed Sep 28 15:13:15 2005 => Object "claria Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:15 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: p2p networking !!!
Wed Sep 28 15:13:15 2005 => Object "p2p networking Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:15 2005 => Offending Folder found: C:\WINDOWS\cache329
Wed Sep 28 15:13:15 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Sep 28 15:13:15 2005 => Offending file found: C:\WINDOWS\smdat32a.sys

joeyblack 29.09.2005 14:45
Hallo DJ Ötzi,

SFMJI, in der Anleitung für escan wird u.a. auch die Datei find.bat von Haui45 (Grüße) erwähnt, die die vorangegangenen postings a la Werner Seitenschinder von Brösel (SCNR, *lol*) auf ein paar Zeilen zusammengeschrumpft hätten.

Lies Dir diese Anleitung

http://www.trojaner-board.de/showthread.php?t=17492

bitte noch einmal GENAU durch, drucke sie Dir am besten aus und dann das ganze PRÄZISE von vorn.

Grüße

Joeyblack :)
_________________________________
Wer Ohren hat zum hören, der HÖRE !

MAD Hoschi 29.09.2005 16:57
Bääähhhh du bist ja total verseucht. Da kann man ja Angst bekommen wenn man deine Logfile anguckt das mann da nich selbst infiziert wird. Mach am besten das mit deinem Pc :snyper: :daumenhoc Wird wohl das beste sein.

cacatoa 29.09.2005 17:16
@ MAD Hoschi:
Warum?
Laß ihn doch erst mal so verfahren wie von joeyblack geschrieben.
Das hier (Beispiel):System found infected....
sagt über den aktuellen Stand mal noch nix aus. Die registry läßt sich bereinigen.
cacatoa

DJ Ötzi 30.09.2005 10:22
hi cacatoa!!!
habe versucht das nach der Einleitung zu machen, klappt aber nicht!!
Da sind Fachwörter die ich nicht kapiere!!!!
Ich brauche dass so eklärt,dass ich es auch kapieren kann!!
EINFACHE ANLEITUNG!!!!
Wie kann ich die Viren löschen???
Gibt mir bitte Anleitungen,so das ich als Anfänger es kappieren kann!!!

DJ Ötzi 30.09.2005 11:03
ich habe jetzt wieder versucht die Anleitung zu befolgen,
ich habe dem Download gespeicht.Dann steht als nächstes ,das ich das mittels Winrar entpacken muss.Was meinen die damit???
Dann muss ich zum Ordner C:\Bases_X navigieren und die Kavupd.exe ausführen,Wie geht das und was meinen die jetzt mit navigieren?(um den Escan zu aktualisieren).
Dann steht da,dass mann mit der rechten Mausklick auf die "mwav.exe"->datei entpacken auswählen muss,unter C:\Bases_X eingeben!!
Wie soll ich das machen?
dann soll ich die Systemwiederherstellung deaktivieren,um ins abgesicherten Modus zu gelangen.Habe ich Kapiert!!!
Als nächstes soll ich zum ordner C:\bases_X navigieren,und die `mwavscan.com`ausführen.(wieder dieses wort-navigieren?)
Dann muss das Escan aktiviert werden.
Hilft mir bitte diese schritte auszuführen!!

DJ Ötzi 30.09.2005 11:54
Logfile of HijackThis v1.99.1
Scan saved at 12:47:28, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [PrinTray]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common

files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax

Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 -

HKLM\System\CCS\Services\Tcpip\..\{52035291-D663-44C5-82AE-1845E5B8FBCB}:

NameServer = 194.8.194.60 213.168.112.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany

- C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE

DJ Ötzi 30.09.2005 12:10
Ich habe es einigermassen mit dem hijack verstanden!!
Mein Logfile:Logfile of HijackThis v1.99.1
Scan saved at 13:08:18, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Ebru\Lokale Einstellungen\Temp\HijackThis.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{52035291-D663-44C5-82AE-1845E5B8FBCB}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Was muss ich jetzt löschen!!

cacatoa 30.09.2005 20:51
Hi,
also erst mal:
Welches von den beiden Logfiles ist denn nun das zu prüfende?
In dem letzten fehlen ein paar Sachen. Oder hast Du es im abgesicherten Modus erstellt?
Folgendes ist auf jeden Fall mit HJT zu fixen (Vorher den Prozeß, falls er läuft, mit dem TaskManager beenden):
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
Dann folgende Datei manuell löschen:
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe

Zum eScan:
WinRar ist ein Programm zum Packen und Entpacken von Dateien. Download hier. Wenn Du das installiert hast und dann auf eine Datei mit der rechten Maustaste clickst, erscheint ein Menü, in dem Winrar dir die verschiedenen Optionen anzeigt. Ist total simpel.
Mit navigieren ist gemeint, daß du mit dem Explorer (nicht Internet-Explorer) die dementsprechende Datei suchen sollst.
Explorer: Rechte Maustaste auf "Start" und dann auf Explorer.
cacatoa

cacatoa 30.09.2005 22:01
Ach so: Außerdem fehlt das SP2 auf Deinem Rechner. Updaten!
cacatoa

DJ Ötzi 01.10.2005 12:07
Hi,
Danke für deine Hilfe!!
Auf welcher Page kann Ich das SP2 Updaten?

Cidre 01.10.2005 12:26
Bei Microsoft...

http://www.microsoft.com/downloads/d...DisplayLang=de oder http://go.microsoft.com/?linkid=3646727

DJ Ötzi 13.10.2005 15:26
Hallo miteinander!!

Kann mir jemand sagen was ich löschen muss?
Mein logfile:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.internetcologne.de
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{52035291-D663-44C5-82AE-1845E5B8FBCB}: NameServer = 194.8.194.60 213.168.112.60
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

DJ Ötzi 13.10.2005 16:02
Hi nochmals an alle,
habe die ganzen Viren gelöscht,ich habe aber fast 50 Adware bzw. Spyware.
War auf google und habe nach Tools gesucht die das entfernen!!
Es findet zwar die Adware bzw die Spyware,löscht sie auch doch nach dem neustart sind die wieder da !!!!
Kann mir jemand ein geeignetes Tool sagen!!!!

Danke im Voraus !

DJ Ötzi 13.10.2005 16:04
HILFE !!!Spyware und Adware gefunden!!
 
Kann mir jemand helfen???


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:29 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131