Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner - nur wie los werden ? (https://www.trojaner-board.de/23714-trojaner-nur-los.html)

archiekt 16.11.2005 17:09
Trojaner - nur wie los werden ?
 
Windwos 2000 SP 4
Spy Sweeper Sitzungprotokoll
15:12: |··· Beginn der Sitzung, Mittwoch, 16. November 2005 ···|
15:12: Spy Sweeper gestartet
15:12: Suchvorgang unter Verwendung der Definitionsversion eingeleitet. 572
15:12: Suchvorgang im Arbeitspeicher wird gestartet
15:14: Suchvorgang im Arbeitspeicher abgeschlossen, Dauer: 00:01:44
15:14: Suchvorgang in Registrierung wird gestartet
15:14: Gefunden Trojan Horse: trojan-downloader-ruin
15:14: HKLM\software\microsoft\windows\currentversion\ruins\ (8 Teilspuren) (ID = 605128)
15:14: Suchvorgang in Registrierung abgeschlossen, Dauer:00:00:08
15:14: Suchvorgang in Cookies wird gestartet
15:14: Suchvorgang in Cookies abgeschlossen, Dauer: 00:00:00
15:14: Suchvorgang in Dateien wird gestartet
15:15: Gefunden Trojan Horse: trojan-secdrop
15:15: bndmod.exe (ID = 81237)
15:16: hlmicro.exe (ID = 125496)
15:19: Suchvorgang in Dateien abgeschlossen, Dauer: 00:05:13
15:19: Die Vollsuche wurde abgeschlossen. Abgelaufene Zeit 00:07:06
15:19: Gefundene Spuren: 11
16:40: Alle Spuren werden isoliert: trojan-downloader-ruin
16:40: Alle Spuren werden isoliert: trojan-secdrop
********
Im abgesicherten Modus auch schon mal versucht ! taucht jedoch immer wieder auf !

Hi Jack sagt ;
Logfile of HijackThis v1.99.1
Scan saved at 16:53:46, on 16.11.2005
Platform: Windows 2000 SP4, RC 3.154 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Downloads\virus Jagd\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Conceptronic\Bluetooth Software\BTTray.exe
C:\PROGRA~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\virus Jagd\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOWNLO~1\VIRUSJ~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Downloads\virus Jagd\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINNT\System32\DrvMon.exe
O4 - Global Startup: BTTray.lnk = C:\Programme\Conceptronic\Bluetooth Software\BTTray.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130249618171
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ptssvc - KODAK - C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

DIE Datei drvmon.exe hab ich versucht zu checken ! jotti ist voll !

Rene-gad 16.11.2005 18:01
@archiekt
- Bitte keine Doppelthreads: http://www.trojaner-board.de/showthread.php?t=23710
- Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.
BTW: drvmon kannst du in Ruhe lassen. Es gibt aber noch die Möglichkeit, die Datei bei www.virustotal.com zu überprüfen.

archiekt 16.11.2005 20:21
sorry wegen der doppelanfrage ! Komme nur irgendwie nicht weiter !

Werde den Vorschlag jedoch nochmal versuchen !


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19