Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ezula und exploit gefunden (https://www.trojaner-board.de/23055-ezula-exploit-gefunden.html)

Gina 26.10.2005 08:06
ezula und exploit gefunden
 
Hallo,

ich hatte gestern einen escan laufen lassen und der fand dann einiges. Ich poste mal ein Hijack-Log und das Log von Escan.

Gestern Abend hatte Antivir dann auch noch Exploit gefunden. Würdet Ihr bitte mal über die Logfiles schauen? Ich hoffe, es ist nicht allzu schlimm.

Danke vorab.

Logfile of HijackThis v1.99.1
Scan saved at 07:59:45, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\Dit.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\V-Stream\PVR Plus\TVR\Scheduled.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\V-Stream Multimedia\TV713X Utilities\P3XRCtl.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\BinarySense\HDDlife\HDDlifePro.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PVR Agent] C:\Programme\V-Stream\PVR Plus\TVR\Scheduled.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HDDlife.lnk = C:\Programme\BinarySense\HDDlife\HDDlifePro.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: TV713X Remote Control.lnk = C:\Programme\V-Stream Multimedia\TV713X Utilities\P3XRCtl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


und nun noch das Escan-Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 25 10:43:04 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Tue Oct 25 10:43:08 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Tue Oct 25 10:43:09 2005 => System found infected with weathercast Spyware/Adware (search.htm)! Action taken: No Action Taken.
Tue Oct 25 10:43:09 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Tue Oct 25 10:43:09 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Tue Oct 25 10:43:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Tue Oct 25 10:43:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Tue Oct 25 10:43:10 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Tue Oct 25 10:58:27 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Oct 25 11:33:13 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 25 10:43:06 2005 => Offending Key found: HKLM\Software\freshdevices !!!
Tue Oct 25 10:43:06 2005 => Offending Key found: HKCU\Software\freshdevices !!!
Tue Oct 25 10:43:07 2005 => Offending Folder found: C:\Programme\freshdevices
Tue Oct 25 10:43:08 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Anwendungsdaten\microsoft\office\zuletzt verwendet\internet.lnk
Tue Oct 25 10:43:09 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Desktop\visitenkarten-assistent\vis_assist\search.htm
Tue Oct 25 10:43:09 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\temporary internet files\content.ie5\15xc2lmk\common[1].js
Tue Oct 25 10:43:09 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\temporary internet files\content.ie5\v0cuc41v\common[1].js
Tue Oct 25 10:43:10 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\content.ie5\15xc2lmk\common[1].js
Tue Oct 25 10:43:10 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\content.ie5\v0cuc41v\common[1].js
Tue Oct 25 10:43:10 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Tue Oct 25 10:43:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\freshdevices
Tue Oct 25 10:43:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\freshdevices
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 25 11:33:13 2005 => Total Virus(es) Found: 13
Tue Oct 25 11:33:13 2005 => Total Errors: 193
Tue Oct 25 11:33:13 2005 => Time Elapsed: 00:52:34
Tue Oct 25 11:33:13 2005 => Total Objects Scanned: 120912
Tue Oct 25 10:39:45 2005 => Virus Database Date: 2005/10/17
Tue Oct 25 11:33:13 2005 => Virus Database Date: 2005/10/17
Tue Oct 25 12:00:25 2005 => Virus Database Date: 2005/10/17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Gruß, Gina

cronos 26.10.2005 13:38
Deinstalliere falls möglich SafeNow und Ezula über Systemsteuerung-->Software.
Lass im abgesicherten Modus bei deaktivierter Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

folgende Programme über dein System laufen:

-Adaware

-Spybot

und behebe gefundene Probleme.Mit Spybot noch zusätzlich immunisieren.
Wieder normal starten, Systemwiederherstellung anschalten und die Registry mittels Regseeker säubern.

Gina 26.10.2005 18:31
Hi Cronos,

keine ahnung, was ich nun gemacht habe. Folgendes ist passiert:

Ich hatte die autom. Systenwiederherstellung deaktiviert und in der Boot.ini den Start im abgesicherten Modus aktiviert. (Mit der Funktion F8 tat sich überhaupt nichts).

Nun habe ich das Problem, dass der PC ständig neu lädt. Es erscheint kurz die Windows-Anmeldung, verschwindet dann aber sofort wieder und er bootet neu. Er scheint in einer "Start-Schleife" zu hängen.

Auch mit der Reparatur-Funktion habe ich keinen Start zustande gebracht.

Bin natürlich jetzt total durch'n Wind und hoffe, Ihr Profis seid so nett und helft mir mal wieder.

Das muß doch hoffentlich wieder hinzukriegen sein.....

Danke nochmals,
Gina

Gina 27.10.2005 08:11
Dank Knoppix bin ich nun wieder im Normalsystem.

Werde nun Deine Empfehlungen abarbeiten und mich wieder melden. Hoffe, es klappt jetzt mit dem abgesicherten Modus.

Viele Grüße,
Gina

Gina 27.10.2005 14:01
Leider komme ich aus irgendwelchen Gründen immer noch nicht in den abges. Modus. Habe daher Spybot und Ad-Aware in Normalmodi laufen lassen - ohne Funde.

RegSeeker habe ich ebenfalls ausgeführt und hoffe, dass jetzt soweit alles ok ist.

Vielen Dank für die Tipps.

Gina


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55