Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Stress mit .FILOST.COM (https://www.trojaner-board.de/27524-stress-filost-com.html)

anyglobal 13.03.2006 13:40
Stress mit .FILOST.COM
 
Wieder Probleme mit FILOST.COM
Sehe die Problemeinträge nicht, bzw. bin nicht sicher, ob die
.CAB-Einträge das Problem sind. Oder liege ich vollig verkehrt?

Ewido anti malware hat auch alles "übersehen"

Danke

Neues BrowserFenster erscheint immer wieder - obwohl nicht immer
mit folgender URL-Adresse
http://540.filost.com/randomsites/banner.aspx

LogDatei ist:
Logfile of HijackThis v1.99.1
Scan saved at 12:48:25, on 13.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\IMNNQ_2K\httpdl.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\internat.exe
C:\WDT400\system\evfctcpd.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost:49213;127.0.0.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Netscape - {4E7BD74F-2B8D-469E-D7EE-FE6FA781BF33} - C:\WINNT\DOWNLO~1\netscape.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Netscape - {4E7BD74F-2B8D-469E-D7EE-FE6FA781BF33} - C:\WINNT\DOWNLO~1\netscape.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [IMNNQ NetQ Web Server] nqdetach.exe httpdl.exe -r C:\IMNNQ_2K\httpd.cnf
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [ZZZ_HPI_Boot] C:\Programme\HP PhotoSmart\Fotonachbearbeitungssoftware\HPI_Boot.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: DFV-Dämon.lnk = C:\WDT400\system\evfctcpd.exe
O4 - Global Startup: HPAiODevice(hp officejet 5100 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet 5100 series\Bin\hpoant07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O16 - DPF: ADVFN 4v4 - http://www.advfn.com/p.php?pid=loadercab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4E7BD74F-2B8D-469E-D7EE-FE6FA781BF33} (Netscape) - http://downloads.netscape.com/search/toolbar/netscape.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/290801facdad04e57405/netzip/RdxIE601_de.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141831831626
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70174EA8-F0AF-4D83-869D-BF8DB5BA8E33}: NameServer = 192.168.1.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINNT\system32\vbsys2.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iSeries Access für Windows - Ferner Befehl (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

hoerni26 13.03.2006 13:43
hallo,

lass mal diese datei:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINNT\system32\vbsys2.dll

online bei jotti scannen..
link zu jotti findest du in meiner signatur..
teile das ergebniss bitte hier mit..

anyglobal 13.03.2006 14:34
Danke für den schnellen Hinweis :)

Hier die Ergebnisse:

Datei: vbsys2.dll
Auslastung: 0% 100%

Status: VIELLEICHT INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Malware.Agent.20 gefunden (mögliche Variante)


Zuletzt gefundene Malware war x3_Reunion_No_Cd_Crack.zip, gefunden von:

Scanner Name der Malware
AntiVir Dropper/Big.A dropper
ArcaVir X
Avast Win32:Trojan-gen. {VC}
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web Program.PsKill.101
F-Prot Antivirus X
Fortinet W32/Pakes-dr
Kaspersky Anti-Virus P2P-Worm.Win32.Insta.a
NOD32 X
Norman Virus Control W32/EliteBar.AR
UNA X
VirusBuster X
VBA32 AdWare.Win32.EliteBar.ba

hoerni26 13.03.2006 14:37
scheint ein startpage virus zu sein..
muss nun mal selber gucken wie wir den wegbekommen..

BataAlexander 13.03.2006 14:38
Hallo,

scan zusätzlich hier.

For safety reasons only ;)

Gruß

Schrulli

anyglobal 13.03.2006 14:50
Also - sicher ist sicher

Hier sind die Ergebnisse:

This is a report processed by VirusTotal on 03/13/2006 at 14:50:43 (CET) after scanning the file "vbsys2.dll" file.
Antivirus Version Update Result
AntiVir 6.34.0.53 03.11.2006 no virus found
Avast 4.6.695.0 03.10.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.13.2006 no virus found
BitDefender 7.2 03.13.2006 no virus found
CAT-QuickHeal 8.00 03.13.2006 no virus found
ClamAV devel-20060126 03.11.2006 no virus found
DrWeb 4.33 03.13.2006 no virus found
eTrust-InoculateIT 23.71.100 03.12.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 Win32/Pomelo!generic
Ewido 3.5 03.13.2006 no virus found
Fortinet 2.71.0.0 03.12.2006 no virus found
F-Prot 3.16c 03.11.2006 no virus found
Ikarus 0.2.59.0 03.10.2006 no virus found
Kaspersky 4.0.2.24 03.13.2006 no virus found
McAfee 4716 03.11.2006 no virus found
NOD32v2 1.1440 03.12.2006 no virus found
Norman 5.70.10 03.10.2006 no virus found
Panda 9.0.0.4 03.12.2006 Suspicious file
Sophos 4.03.0 03.13.2006 no virus found
Symantec 8.0 03.13.2006 no virus found
TheHacker 5.9.5.112 03.13.2006 no virus found
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.13.2006 suspected of Malware.Agent.20

BataAlexander 13.03.2006 15:08
Hallo,

die Datei mal an diese zwei Adressen schicken:
virus@ca.com
newvirus@anti-virus.by

mit Bezug auf diesen Thread.

Mir völlig unbekannt sind die Ordner/Dateien:
C:\WDT400\system\evfctcpd.exe
C:\IMNNQ_2K\httpdl.exe
C:\Programme\IBM\Client Access\cwbwlwiz.exe

Was ist das für ein System? Mit SQl Server, Cisco VPN Client?

Ebenfalls suspekt und zum onlinescannen verdammt ist
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb02.exe

Gruß

Schrulli

hoerni26 13.03.2006 15:15
@schrulli

schau mal Hier

anyglobal 13.03.2006 16:13
Ihr seid super schnell
Schadr, dass mein Browser immer wieder abschmiert - aber deswegen sind wir hier:

Antwort zu Fragen
Was sind:

C:\WDT400\system\evfctcpd.exe
ist - JavaDelevopment Kit usw. für die AS400/Iseries von IBM

C:\Programme\IBM\Client Access\cwbwlwiz.exe
ist - Connectivity-S/W umbegung zwischen PC und
AS400/Iseries von IBM

C:\IMNNQ_2K\httpdl.exe
ist - Wieder S/W (Websphere Sachen) für die AS400

AS400 => MidrangeRechner


Protokoll ist:

This is a report processed by VirusTotal on 03/13/2006 at 16:13:10 (CET) after scanning the file "hpztsb02.exe" file.
Antivirus Version Update Result
AntiVir 6.34.0.53 03.13.2006 no virus found
Avast 4.6.695.0 03.10.2006 no virus found
AVG 718 03.10.2006 no virus found
Avira 6.34.0.53 03.13.2006 no virus found
BitDefender 7.2 03.13.2006 no virus found
CAT-QuickHeal 8.00 03.13.2006 no virus found
ClamAV devel-20060126 03.13.2006 no virus found
DrWeb 4.33 03.13.2006 no virus found
eTrust-InoculateIT 23.71.100 03.12.2006 no virus found
eTrust-Vet 12.4.2115 03.10.2006 no virus found
Ewido 3.5 03.13.2006 no virus found
Fortinet 2.71.0.0 03.12.2006 no virus found
F-Prot 3.16c 03.11.2006 no virus found
Ikarus 0.2.59.0 03.13.2006 no virus found
Kaspersky 4.0.2.24 03.13.2006 no virus found
McAfee 4716 03.11.2006 no virus found
NOD32v2 1.1440 03.12.2006 no virus found
Norman 5.70.10 03.13.2006 no virus found
Panda 9.0.0.4 03.12.2006 no virus found
Sophos 4.03.0 03.13.2006 no virus found
Symantec 8.0 03.13.2006 no virus found
TheHacker 5.9.5.112 03.13.2006 no virus found
UNA 1.83 03.10.2006 no virus found
VBA32 3.10.5 03.13.2006 no virus found

felix1 13.03.2006 16:25
Installiere Clearprog, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/
Lade und update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html

Lade RegSeeker
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!

hoerni26 13.03.2006 16:53
@felix

also ich habe mir das ganze nun nochmal genau angeschaut..
ich glaube das es das gleiche ist wie dies Hier

Gruß

felix1 13.03.2006 18:27
Könnte sein, was mich etwas irritiert ist das Datum?
Solche alten Kamellen?

anyglobal 13.03.2006 21:59
Hallo

Alles scheint jetzt in Ordnung zu sein
Aber für die Nachwelt (wegen der Anzahl der Untersuchungen und
Löschmassnahmen, die durchgeführt wurden) kann ich nicht gemau
sagen was GENAU das Problem war und, noch wichtiger, welches Pgm
mir geholfen hat.

Das Problem lag eindeutig an Dreckeinträge im Register
- wie genau am Anfang gleich erklannt - die die Hichjack-Pgms
angestossen haben.

Eindeutig auch - ein einziges Virenscanner-Pgm (hier bei mir
Norton Semantic als Einheitslösung von der Firma) reicht gar nicht mehr.
Mehrere Pgms mussten verwendet werden, um das Problem eindeutig
zu identifizieren und bereinigen.

Gibt es eine Virenscanner-Pgmbatterie oder -Paket von
zusammengeschnürte Anwendungen, die man einsetzen kann
um einen besseren Schutz zu haben?
Darf die Kiste auch nicht total in die Knee zwingen wie meine letzten Versuche mehrere AntiViren (und den Rest) Pgms gleichzeitig
einzuschalten.
Egal
Danke für die Unterstützung


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131