Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mass Send Mail (https://www.trojaner-board.de/29309-mass-send-mail.html)

smakr2 18.05.2006 08:32
Mass Send Mail
 
Saut geraumer Zeit blockiert meine Firewall immer schubweise ausgehende smtp Verbindungen aur verschiedene Server.
Hier in kleiner Auszug aus der Logfile:

Zitat:
"Exception List Rule","22:13:16","TCP","KRAFTEDMOBILE","4531","194 .67.23.20","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE" ,"Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
"Exception List Rule","22:13:46","TCP","KRAFTEDMOBILE","4532","213 .180.204.38","25","C:\WINDOWS\SYSTEM32\SERVICES.EX E","Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
"Exception List Rule","22:14:17","TCP","KRAFTEDMOBILE","4533","131 .107.1.7","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE", "Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
Virenscanner ( Trend Micro, AdAware und Spybot Search&Destroy ) haben nichts gefunden und ich verzweifel langsam.

Anbei noch ein hijackthis log. Bin für jede Hilfe dankbar.

Markus1234 18.05.2006 08:56
Zitat:
C:\PROGRA~1\INSTSRV\SRVANY.EXE
Kommt mir spanisch vor dass diese Datei die ja eigentlich zum einbinden neuer Dienste da ist im Programme-Verzeichnis läuft.
Lass sie mal bei Virustotal scannen

und wenn du schon dabei bist scannst du diese Datei auch noch
Zitat:
C:\Programme\Remote\remoterm.exe
mfg,
Markus

smakr2 18.05.2006 09:09
Hi Markus,
die beiden Dateien sind vertrauenswürdig, hab sie selber so Installiert.
SRVANY.EXE sorgt dafür, dass RMClock als Prozess läuft und remoteterm.exe ist ne kleine Anwendung die ich brauchen um die Fernbedienung meiner Fernsehkarte zu benutzen.

Files trotzdem mal gescannt:

SRVANY: kein treffer nur
Fortinet 2.77.0.0 05.17.2006 SrvAny
meckert rum.
remoteterm:
no virus found

Markus1234 18.05.2006 09:14
Nun denn ist mein Latein fast am Ende.

Scanne dein System noch mit Blacklight und Rootkitrevealer.

Sonst soll mal ein Netzwerkspezi von hier drüber fliegn - erübrigt sich meistens im Laufe des Tages von selbst.

mfg,
Markus

smakr2 18.05.2006 09:31
Zitat:
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\TrendMicro\PC-cillin\ScanInfo\LastScanFile 18.05.2006 10:23 54 bytes Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 15.01.2006 11:37 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\sysbus32 16.05.2006 14:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\sysbus32 16.05.2006 14:35 0 bytes Hidden from Windows API.
Autsch das sieht Böse aus

Wildone 18.05.2006 09:46
Hallo,
werde noch nicht vollkommen schlau aus dem Rootkitrevealer Log, ist auch nicht gerade meine Stärke.
Schau mal ob folgende Datei existiert:
C:\WINDOWS\System32\Drivers\sysbus32.sys

Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!


Grüße Wildone

smakr2 18.05.2006 09:57
Also die Datei existiert nicht. Hier die Logs

Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS\system32

16.05.2006 14:35 12.735 tablet.dat
14.05.2006 09:51 131.688 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe
23.04.2006 14:25 16.832 amcompat.tlb
23.04.2006 14:25 23.392 nscompat.tlb
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 10:55 410.460 perfh009.dat
26.03.2006 10:55 66.546 perfc009.dat
26.03.2006 10:55 423.522 perfh007.dat
26.03.2006 10:55 78.592 perfc007.dat
26.03.2006 10:55 990.052 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 14:54 1.158 wpa.dbl
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll
15.02.2006 18:25 526 ws848151.ocx
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp

18.05.2006 10:23 335.955 SJIVGKHOVAIV.exe
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS

16.05.2006 14:35 2.064.177 WindowsUpdate.log
16.05.2006 14:35 159 wiadebug.log
16.05.2006 14:35 50 wiaservc.log
16.05.2006 14:35 0 0.log
16.05.2006 14:35 2.048 bootstat.dat
16.05.2006 14:33 32.552 SchedLgU.Txt
16.05.2006 13:11 116 NeroDigital.ini
15.05.2006 03:00 48.903 iis6.log
15.05.2006 03:00 4.041 comsetup.log
15.05.2006 03:00 65.563 ntdtcsetup.log
15.05.2006 03:00 123.336 tsoc.log
15.05.2006 03:00 1.374 imsins.log
15.05.2006 03:00 16.959 ocmsn.log
15.05.2006 03:00 10.029 KB901190.log
15.05.2006 03:00 5.832 ocgen.log
15.05.2006 03:00 15.415 msgsocm.log
15.05.2006 03:00 308.365 FaxSetup.log
15.05.2006 03:00 4.933 setupapi.log
14.05.2006 16:17 524 my.ini
13.05.2006 13:25 1.218 wmsetup.log
11.05.2006 03:00 1.374 imsins.BAK
11.05.2006 03:00 11.751 KB913580.log
11.05.2006 03:00 0 setupact.log
11.05.2006 03:00 17.469 updspapi.log
06.05.2006 22:01 285 wmsetup10.log
27.04.2006 07:24 11.771 KB900485.log
24.04.2006 19:28 8.049 mozver.dat
23.04.2006 17:43 112 RelictEPG.INI
23.04.2006 14:01 2.737 spupdsvc.log
23.04.2006 13:58 37.288 KB911565.log
23.04.2006 12:21 316.640 WMSysPr9.prx
22.04.2006 23:22 1.752 ModemLog_Standard Modem over IR link.txt
16.04.2006 23:25 353.792 TrueCrypt Setup.exe
14.04.2006 09:27 15.597 KB908531.log
14.04.2006 09:26 14.782 KB911562.log
14.04.2006 09:26 16.746 KB912812.log
14.04.2006 09:24 10.665 KB911567.log
17.03.2006 08:05 13.159 KB911927.log
17.03.2006 08:05 12.147 KB911564.log
17.03.2006 08:04 6.628 KB913446.log
16.03.2006 16:43 145 WININIT.INI
24.02.2006 13:36 426 TMFilter.log
24.02.2006 13:29 2.452 EventSystem.log
19.02.2006 19:27 32 winamp.ini
15.02.2006 22:05 507 win.ini
15.02.2006 22:05 227 system.ini
15.02.2006 21:13 43 drsmartload2.dat
15.02.2006 21:12 0 winsysupd81.dat
15.02.2006 21:12 0 gimmygames1.dat
15.02.2006 21:10 3.054 secure32.html
15.02.2006 21:09 76.800 kl1.exe
15.02.2006 21:09 0 uniq
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\

18.05.2006 10:52 0 sys.txt
18.05.2006 10:52 8.578 system.txt
18.05.2006 10:52 296 systemtemp.txt
18.05.2006 10:50 102.444 system32.txt
18.05.2006 10:44 429 datFind.bat
17.05.2006 16:36 19.352 hpfr5550.log
16.05.2006 14:34 1.610.612.736 pagefile.sys
15.02.2006 22:05 211 boot.ini
15.02.2006 18:25 526 os930559.bin

Wildone 18.05.2006 10:11
Hallo,
hmm, ich kann nichts finden, bis auf diese alte Infektion vom 15.02., diese Dateien kannst du auf jeden Fall mal löschen, wird aber nichts an dem eigentlichen Problem ändern:

15.02.2006 21:13 43 drsmartload2.dat
15.02.2006 21:12 0 winsysupd81.dat
15.02.2006 21:12 0 gimmygames1.dat
15.02.2006 21:10 3.054 secure32.html
15.02.2006 21:09 76.800 kl1.exe
15.02.2006 21:09 0 uniq
(alle auf C:\Windows)

Mache mal noch zwei Sachen, erstens suche mal allgemein auf deinem system ob die Datei sysbus32.sys zu finden ist.
Außerdem scannst mal noch mit Blacklight und postest das Log(wird automatisch im selben Pfad erstellt, fsbl**.txt).

Außwerdem überprüfst du mal folgende Dateien hier unsd postest das jeweilige Ergebnis:
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll
(alle System32 Ordner)

Und poste danach nochmal die vier Logfiles, dieseas mal alle Einträge von diesem Jahr.


Grüße Wildone

smakr2 18.05.2006 10:38
Danke schonma für deinen Einsatz:

Also hier nochma die 4 Logfiles:

Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS\system32

16.05.2006 14:35 12.735 tablet.dat
14.05.2006 09:51 131.688 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe
23.04.2006 14:25 16.832 amcompat.tlb
23.04.2006 14:25 23.392 nscompat.tlb
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
26.03.2006 10:55 410.460 perfh009.dat
26.03.2006 10:55 66.546 perfc009.dat
26.03.2006 10:55 423.522 perfh007.dat
26.03.2006 10:55 78.592 perfc007.dat
26.03.2006 10:55 990.052 PerfStringBackup.INI
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 14:54 1.158 wpa.dbl
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll
15.02.2006 18:25 526 ws848151.ocx
27.01.2006 21:34 34.064 lhacm.acm
24.01.2006 19:58 49.152 CompiledAdapter
19.01.2006 15:53 2.194.324 MSDELog.log
15.01.2006 13:22 7.006 jupdate-1.5.0_06-b05.log
12.01.2006 23:46 0 $winnt$.inf
04.01.2006 05:35 68.096 webclnt.dll
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\WINDOWS

16.05.2006 14:35 2.064.177 WindowsUpdate.log
16.05.2006 14:35 159 wiadebug.log
16.05.2006 14:35 50 wiaservc.log
16.05.2006 14:35 0 0.log
16.05.2006 14:35 2.048 bootstat.dat
16.05.2006 14:33 32.552 SchedLgU.Txt
16.05.2006 13:11 116 NeroDigital.ini
15.05.2006 03:00 48.903 iis6.log
15.05.2006 03:00 4.041 comsetup.log
15.05.2006 03:00 65.563 ntdtcsetup.log
15.05.2006 03:00 123.336 tsoc.log
15.05.2006 03:00 1.374 imsins.log
15.05.2006 03:00 16.959 ocmsn.log
15.05.2006 03:00 10.029 KB901190.log
15.05.2006 03:00 5.832 ocgen.log
15.05.2006 03:00 15.415 msgsocm.log
15.05.2006 03:00 308.365 FaxSetup.log
15.05.2006 03:00 4.933 setupapi.log
14.05.2006 16:17 524 my.ini
13.05.2006 13:25 1.218 wmsetup.log
11.05.2006 03:00 1.374 imsins.BAK
11.05.2006 03:00 11.751 KB913580.log
11.05.2006 03:00 0 setupact.log
11.05.2006 03:00 17.469 updspapi.log
06.05.2006 22:01 285 wmsetup10.log
27.04.2006 07:24 11.771 KB900485.log
24.04.2006 19:28 8.049 mozver.dat
23.04.2006 17:43 112 RelictEPG.INI
23.04.2006 14:01 2.737 spupdsvc.log
23.04.2006 13:58 37.288 KB911565.log
23.04.2006 12:21 316.640 WMSysPr9.prx
22.04.2006 23:22 1.752 ModemLog_Standard Modem over IR link.txt
16.04.2006 23:25 353.792 TrueCrypt Setup.exe
14.04.2006 09:27 15.597 KB908531.log
14.04.2006 09:26 14.782 KB911562.log
14.04.2006 09:26 16.746 KB912812.log
14.04.2006 09:24 10.665 KB911567.log
17.03.2006 08:05 13.159 KB911927.log
17.03.2006 08:05 12.147 KB911564.log
17.03.2006 08:04 6.628 KB913446.log
16.03.2006 16:43 145 WININIT.INI
24.02.2006 13:36 426 TMFilter.log
24.02.2006 13:29 2.452 EventSystem.log
19.02.2006 19:27 32 winamp.ini
15.02.2006 22:05 227 system.ini
15.02.2006 22:05 507 win.ini
27.01.2006 12:28 98 WirelessFTP.INI
27.01.2006 12:23 0 tosOBEX.INI
24.01.2006 19:59 7.053 KB891220.log
23.01.2006 13:50 136 graphedt.INI
19.01.2006 15:55 22.845 KB904706.log
16.01.2006 16:04 506 GEARInstall.log
14.01.2006 16:38 772 hpinfo.lnk
12.01.2006 23:45 2.741 sessmgr.setup.log
12.01.2006 23:44 2.750 regopt.log
12.01.2006 23:41 8.192 REGLOCS.OLD
12.01.2006 20:08 29.786 KB899587.log
12.01.2006 20:08 28.909 KB896422.log
12.01.2006 20:08 28.706 KB885835.log
12.01.2006 20:07 27.772 KB885836.log
12.01.2006 20:07 28.528 KB885250.log
12.01.2006 20:07 28.598 KB901017.log
12.01.2006 20:07 28.984 KB899591.log
12.01.2006 20:07 29.106 KB896424.log
12.01.2006 20:07 28.726 KB893756.log
12.01.2006 20:07 27.311 KB896423.log
12.01.2006 20:07 27.283 KB873339.log
12.01.2006 20:07 27.288 KB888113.log
12.01.2006 20:07 27.891 KB887742.log
12.01.2006 20:06 28.309 KB896358.log
12.01.2006 20:06 22.720 KB910437.log
12.01.2006 20:06 18.566 KB898458.log
12.01.2006 20:06 30.649 KB905915.log
12.01.2006 20:06 24.247 KB891781.log
12.01.2006 20:06 29.281 KB902400.log
12.01.2006 20:05 21.421 KB890046.log
12.01.2006 20:05 20.806 KB893066.log
12.01.2006 20:05 21.153 KB905414.log
12.01.2006 20:05 20.398 KB901214.log
12.01.2006 20:05 18.966 KB888302.log
12.01.2006 20:05 20.647 KB900725.log
12.01.2006 20:05 17.908 KB912919.log
12.01.2006 20:04 12.189 KB886185.log
12.01.2006 20:04 17.714 KB905749.log
12.01.2006 20:04 16.406 KB896428.log
12.01.2006 20:04 16.891 KB894391.log
12.01.2006 20:04 14.729 KB908519.log
12.01.2006 20:04 17.098 KB890859.log
12.01.2006 17:56 7.572 KB893803v2.log
12.01.2006 17:56 7.002 KB898461.log
12.01.2006 17:15 0 nsreg.dat
12.01.2006 17:15 107.132 UninstallThunderbird.exe
12.01.2006 17:14 107.132 UninstallFirefox.exe
Zitat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6CFC-8FFB

Verzeichnis von C:\

18.05.2006 11:25 0 sys.txt
18.05.2006 11:24 8.280 system.txt
18.05.2006 11:24 132 systemtemp.txt
18.05.2006 11:23 102.444 system32.txt
18.05.2006 10:44 429 datFind.bat
17.05.2006 16:36 19.352 hpfr5550.log
16.05.2006 14:34 1.610.612.736 pagefile.sys
15.02.2006 22:05 211 boot.ini
15.02.2006 18:25 526 os930559.bin
19.01.2006 15:53 211.596 MSDELog.log
16.01.2006 14:30 0 logwmemory.bin
Scannergebnisse der Files: volltreffer

Zitat:
Complete scanning result of "rYsauto.dll", received in VirusTotal at 05.18.2006, 11:26:39 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 ADSPY/Look2Me.ab
Avast 4.6.695.0 05.17.2006 no virus found
AVG 386 05.17.2006 Look2me
BitDefender 7.2 05.18.2006 Adware.Dinky.A.Trojan
CAT-QuickHeal 8.00 05.17.2006 Adware.Look2Me
ClamAV devel-20060426 05.16.2006 Adware.Lookme-26
Zitat:
File "rJssapi.dll" received on 05.18.2006 at 11:30:49 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 ADSPY/Look2Me.ab
Avast 4.6.695.0 05.17.2006 no virus found
AVG 386 05.17.2006 Look2me
BitDefender 7.2 05.18.2006 Adware.Dinky.A.Trojan
Zitat:
File "bztsprx2.dll" received on 05.18.2006 at 11:33:29 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 ADSPY/Look2Me.ab
Avast 4.6.695.0 05.17.2006 no virus found
AVG 386 05.17.2006 Look2me
BitDefender 7.2 05.18.2006 Adware.Dinky.A.Trojan
CAT-QuickHeal 8.00 05.17.2006 Adware.Look2Me
Zitat:
File "msnscps.dll" received on 05.18.2006 at 11:36:20 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 TR/PSW.Agent.FG.2
Avast 4.6.695.0 05.17.2006 Win32:Small-TA
AVG 386 05.17.2006 PSW.Agent.AYE
BitDefender 7.2 05.18.2006 Trojan.PWS.Agent.FG
Zitat:
File "barseek.dll" received on 05.18.2006 at 11:37:08 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 6.34.1.27 05.18.2006 TR/Proxy.Small.DU.1
Avast 4.6.695.0 05.17.2006 Win32:Trojano-3153
AVG 386 05.17.2006 Proxy.BHI
BitDefender 7.2 05.18.2006 Trojan.Proxy.Small.DU
CAT-QuickHeal 8.00 05.17.2006 TrojanProxy.Small.du
Blacklight lässt sich nicht installieren:

... could not acquire necessary privileges (SeDebugPrivilege )

Wildone 18.05.2006 10:45
Hallo,
das sind zwar alles Trojaner, aber höchstwahrscheinlich auch nicht die Ursache für dein Problem.
Lösche mal noch diese Dateien:
17.02.2006 09:56 235.750 rYsauto.dll
17.02.2006 09:43 235.750 rJssapi.dll
17.02.2006 09:19 235.750 bztsprx2.dll
16.02.2006 19:39 236.699 n0l80a3ued.dll
15.02.2006 21:12 32.984 msnscps.dll
15.02.2006 21:11 16.384 barseek.dll

Blacklight Log kommt noch?
Edit
Bist du als Administrator angemeldet?



Grüße Wildone

smakr2 18.05.2006 10:48
Nein. Aber hab die Datei als Admin gestartet.

barseek lässt sich nicht löschen.

Wildone 18.05.2006 10:55
Hallo,
lösche sie mit killbox, mit der Option "delete on reboot".

Versuche es mal mit diesem Programm und, falls möglich, poste danach das Log.


Grüße Wildone

smakr2 18.05.2006 11:00
unhackme hat das mit sysbus32 entfernt. Kille jetzt die barseek und starte neu. Was ist mit den InprocServer32 Einträgen?

Wildone 18.05.2006 11:07
Hallo,
Zitat:
Was ist mit den InprocServer32 Einträgen?
die sind harmlos.
Zitat:
unhackme hat das mit sysbus32 entfernt.
Kannst du mal genau sagen was unhackme entfernt hat? auch Dateien? Falls es ein Log gibt poste es.


Grüße Wildone

smakr2 18.05.2006 11:11
Zitat:
Zitat von Wildone
Hallo,

die sind harmlos.
Sicher? Googlen sagt, dass das nen Trojaner ist.
Log gabs leider nicht, aber es wurde nur der Registry Eintrag gelöscht.

Wildone 18.05.2006 11:28
Hallo,
Zitat:
Sicher?
Ziemlich. Du kannst sie aber auch entfernen wenn du willst, sollte damit gehen.


Aber ich denke das wir das Problem immernoch nicht beseitigt haben. Du solltest eine Neuinstallation mal in Erwägung ziehen. Gerade weil der Verdacht auf ein Rootkit+Mailbot sehr nahe liegt. Und Rootkits graben sich so tief in das System ein das sie quasi nicht zu beseitigen sind.
Eine Anleitung wie du beim Neuaufsetzen vorgehen solltest findest du hier.


Grüße Wildone

smakr2 18.05.2006 11:30
Neuaufsetzen wäre ein harter Schlag. Gibs keine andere Möglichkeit?

Wildone 18.05.2006 11:36
Hallo,
ich sehe eigentlich keine Alternative. Außerdem solltest du mal dein Verhalten im Internet hinterfragen, da war ja jetzt schon das ein oder andere auf deinem System...
In Kurzform, keine Dateien aus unseriösen Quellen(Crackseiten, P2P, Mailanhänge...) ausführen. Und ansonsten die Tipps in der Anleitung beachten.


Grüße Wildone

smakr2 18.05.2006 11:40
Du wirst dich wundern, und ich wundere mich umso mehr, dass soviele Dateien drauf sind.

Bin nur in nem eingeschränkten Konto.
Benutze nur Firefox und lade auch eigentlich keine illegale Sachen runter, bis auf einen Crack vor nem halben Jahr wo ich mir auch SpySheriff gefangen hatte ( war mein persönlicher Fehler ). Den hatte ich aber entfernt.
Desweiteren frage ich mich, warum mein Virenscanner keiner der Sachen gefunden hat?
Hmm und seitdem der PC heute an ist, sind noch keine Smtp versuche rausgegangen.

Wildone 18.05.2006 11:45
Hallo,
hmm, eigentlich vorbildliches Verhalten, aber Spysheriff hast du eben nicht entfernt, denn Teile der entfernten Dateien waren noch von Spysheriff. Und wie konnten die bei einem eingeschränkten Benutzerkonto in den System32 Ordner kommen?
Ansonsten scheinst du ja ganz gute Absicherungsmaßnahmen durchzuführen. Aber so wie ich das sehe hast du da was ganz übles auf dem System, und das versucht auch noch andere zu infizieren(ev. tunnelt es auch deine Desktopfirewall).
Wenn du das System in einen vertrauenswürdigen Zustand zurückversetzen willst wäre ein Neuaufsetzen meiner Meinung die einzig sinnvolle Möglichkeit.


Grüße Wildone

smakr2 18.05.2006 11:49
Hmm okay vielen Dank für die Hilfe, dann setz ich mich ma eben an Backups, und dieses mal erstelle ich mir nen Image von meiner fertigen Installation.

Noch ne kurze Frage: Wieso hat TrendMicro keiner der infizierten Dateien erkannt?

Wildone 18.05.2006 12:10
Hallo,
schwierige Frage. Eigentlich hätte das Programm sie erkennen müssen, schließlich ist diese Infektion nicht gerade neu. Vielleicht wurde der Scanner von Malware manipuliert, oder er hat einfach seine Schwächen bei dieser Infektion, genaues weiß man nicht.
Ansonsten würde ich mich aber auch zukünftig nicht auf AV Programme verlassen, und wie schon beschrieben die Schleusen dicht machen. Wenn erstmal eine Infektion da ist, ist in den meisten Fällen das Kuind schon im Brunnen.


Grüße Wildone

smakr2 18.05.2006 12:14
Ok danke für deine Hilfe, ich meld mich wenn alles neu installiert ist. Werde gitarrespielend den Rechern neu installiern :teufel3:

smakr2 18.05.2006 22:31
Sodele, scheint alles gut gelaufen zu sein. Vielen Dank nochma


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131