|
Trojan-Spy.Win32.Ardamax.b Hallo! eScan meldet mir immer einen Virus in der datei winsecure (manchmal Endung .exe, manchmal .004 oder so) im system32-Ordner. Außerdem bekomme ich ab und zu eine Fehlermeldung in der irgendetwas von firewall.exe und winsecure.exe steht. Habe nichts hilfreiches zu dem gefundenen virus gefunden, also poste ich euch mal ein Logfile. Kennt ihr den Kandidaten? Danke im voraus, surftim. ------------ Logfile of HijackThis v1.99.1 Scan saved at 11:13:00, on 19.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\eScan\avpm.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\DAEMON Tools\daemon.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\PROGRA~1\eScan\MAILDISP.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\PROGRA~1\ESCAN\SPOOLER.EXE D:\Programme\Cursor XP\CursorXP.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\eScan\MAILSCAN.EXE C:\WINDOWS\System32\svchost.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\DesktopX.exe C:\PROGRA~1\eScan\kavss.exe C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\dxwidget.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\dxwidget.exe C:\PROGRA~1\eScan\AvpM.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\dxwidget.exe D:\Programme\Stardock\ObjectDock\ObjectDock.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\dxwidget.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\dxwidget.exe D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\dxwidget.exe C:\Miranda IM\miranda32.exe D:\Programme\AOL 9.0\waol.exe D:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Anwender\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: NXIECatcher Class - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - D:\Programme\Xi\NetXfer\NXIEHelper.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - D:\Programme\Xi\NetXfer\NXToolBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Firewall.exe] C:\WINDOWS\system32\Firewall.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [CursorXP] D:\Programme\Cursor XP\CursorXP.exe O4 - HKCU\..\Run: [DesktopX] "D:\PROGRA~1\Stardock\OBJECT~1\DesktopX\DesktopX.exe" O4 - Startup: Clear calendar.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Widgets\Clearcalendar\Clear calendar.exe O4 - Startup: Clearness digital.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Widgets\Clearnessdigital\Clearness digital.exe O4 - Startup: DesktopX Welcome.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Welcome.exe O4 - Startup: Fishy.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Widgets\Fishy.exe O4 - Startup: ObjectDock.lnk = D:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: OMNI slideshow.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Widgets\OMNIslideshow\OMNI slideshow.exe O4 - Startup: Silica Weather.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Widgets\Silica Weather.exe O4 - Startup: Stickies.lnk = D:\Programme\Stardock\Object Desktop\DesktopX\Widgets\Sticky Notes.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit NetXfer herunterladen - D:\Programme\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: Hattrick Organizer Extension support - D:\Eigene\Ordner\Hattrick-Ordner\HT\lineups\support.htm O8 - Extra context menu item: Hattrick Organizer Lineups - D:\Eigene\Ordner\Hattrick-Ordner\HT\lineups\hoe.htm O8 - Extra context menu item: Herunterladen mit NetXfer - D:\Programme\Xi\NetXfer\NXAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131645009640 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0AF66EBF-A4D5-41C1-A354-7C1A1933AD32}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{750D58E7-0879-4BD8-8B85-442B55F99F4C}: NameServer = 205.188.146.145 O17 - HKLM\System\CS1\Services\Tcpip\..\{0AF66EBF-A4D5-41C1-A354-7C1A1933AD32}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{0AF66EBF-A4D5-41C1-A354-7C1A1933AD32}: NameServer = 192.168.1.1 O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll O20 - Winlogon Notify: WBSrv - D:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe |
|
Was genau kommt dir verdächtig vor? Bei vielem kann ich dir glaubich sagen was es ist. Hier das Ergebnis: Antivirus Version Update Result AntiVir 6.35.0.13 06.19.2006 no virus found Authentium 4.93.8 06.16.2006 W32/Trojan.CXS Avast 4.7.844.0 06.19.2006 no virus found AVG 386 06.16.2006 no virus found BitDefender 7.2 06.19.2006 no virus found CAT-QuickHeal 8.00 06.17.2006 no virus found ClamAV devel-20060426 06.18.2006 no virus found DrWeb 4.33 06.19.2006 no virus found eTrust-InoculateIT 23.72.42 06.18.2006 no virus found eTrust-Vet 12.6.2263 06.19.2006 no virus found Ewido 3.5 06.19.2006 no virus found Fortinet 2.77.0.0 06.18.2006 suspicious F-Prot 3.16f 06.17.2006 destructive program named W32/Trojan.CXS Ikarus 0.2.65.0 06.19.2006 no virus found Kaspersky 4.0.2.24 06.19.2006 no virus found McAfee 4786 06.16.2006 no virus found Microsoft 1.1441 06.19.2006 no virus found NOD32v2 1.1607 06.19.2006 no virus found Norman 5.90.21 06.16.2006 W32/Smalltroj.GPO Panda 9.0.0.4 06.18.2006 Bck/Eter.A Sophos 4.06.0 06.19.2006 no virus found Symantec 8.0 06.19.2006 no virus found TheHacker 5.9.8.162 06.19.2006 Trojan/Autoit.p UNA 1.83 06.19.2006 Trojan.Win32.Autoit VBA32 3.11.0 06.18.2006 no virus found VirusBuster 4.3.7:9 06.18.2006 no virus found Und nu? |
Gute Frage.... Finde über den Wurm net viel! Von wem ist die Auswertung? Jotti oder Virusscan? Eventuell mal noch bei dem Scannen, wo du net die Überprüfung gemacht hast. Wie gesagt, finde sehr wenig über das Teil und bin mir nicht sicher ob der Backdoor Funktionen hat! Kennst du das? O17 - HKLM\System\CCS\Services\Tcpip\..\{750D58E7-0879-4BD8-8B85-442B55F99F4C}: NameServer = 205.188.146.145 und O20 - Winlogon Notify: WBSrv - D:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll Jetzt wollte ich grad Dein IE bemängeln aber nutzt ja den Firefox :daumenhoc :daumenhoc :daumenhoc :daumenhoc :daumenhoc |
|
aaaaalso das erste kenne ich nicht :nixda: , das zweite da steht da was von stardock, das is sowas optisches für den desktop ;) hab da so einige "widgets" installiert. (zB ObjectDock falls dir das was sagt) hab jetzt nochmal mit jotti gemacht: F-Prot Antivirus W32/Trojan.CXS gefunden Norman Virus Control W32/Smalltroj.GPO gefunden :pukeface: und wie gesagt eScan bezeichnet den Virus so wies im Thread steht... |
also winsecure.exe kann ich nicht scannen, da sie nicht existiert... es existieren immer so .001 und .007 dateien, die winsecure heißen, ich denke aus denen wird dann bei bedarf diese .exe zusammengesetzt... in den 00x-dateien finden die scanner nichts... nutze AOL, aber einwahl über arcor. |
oh jetzt kommt was bei soner 00x-Datei!! Antivirus Version Update Result AntiVir 6.35.0.13 06.19.2006 no virus found Authentium 4.93.8 06.16.2006 W32/Ardamax.C@spy Avast 4.7.844.0 06.19.2006 Win32:Ardamax-B AVG 386 06.16.2006 no virus found BitDefender 7.2 06.19.2006 Trojan.Keylogger.Ardamax.D CAT-QuickHeal 8.00 06.17.2006 no virus found ClamAV devel-20060426 06.18.2006 no virus found DrWeb 4.33 06.19.2006 no virus found eTrust-InoculateIT 23.72.42 06.18.2006 no virus found eTrust-Vet 12.6.2263 06.19.2006 no virus found Ewido 3.5 06.19.2006 Not-A-Virus.Monitor.Win32.Ardamax.24 Fortinet 2.77.0.0 06.18.2006 Keylog/Ardamax!060 F-Prot 3.16f 06.17.2006 security risk named W32/Ardamax.C@spy Ikarus 0.2.65.0 06.19.2006 no virus found Kaspersky 4.0.2.24 06.19.2006 not-a-virus:Monitor.Win32.Ardamax.24 McAfee 4786 06.16.2006 potentially unwanted program Keylog-Ardamax Microsoft 1.1441 06.19.2006 no virus found NOD32v2 1.1607 06.19.2006 Win32/KeyLogger.Ardamax Norman 5.90.21 06.16.2006 W32/Ardamax.ACV Panda 9.0.0.4 06.18.2006 Application/Ardamax Sophos 4.06.0 06.19.2006 no virus found Symantec 8.0 06.19.2006 no virus found TheHacker 5.9.8.162 06.19.2006 Aplicacion/Ardamax.24 UNA 1.83 06.19.2006 no virus found VBA32 3.11.0 06.18.2006 no virus found VirusBuster 4.3.7:9 06.18.2006 KeyLogger.Ardamax.A ob der unabhängig is von dem firewall.exe?! |
ich habe übrigens diese escan-vollversion... sollte ich die vllt. auch mal im abgesicherten laufen lassen, wies hier im forum für den mwavscan beschrieben wird? :confused: |
So wie ich das sehe ja. Das Programm Ardamax ist wohl so ein Tool für Scriptkiddies, die unbedingt alles überwachen wollen was andere am Computer machen. Dieser Trojaner nutzt das Tool (desswegen auch verschiedene Dateinamen). Hat sonst noch jemand Zugriff auf den PC? mfg, Markus |
ne, jedenfalls sollte nicht so sein ;-) WLAN mit WEP und MAC-Adresse geschützt. |
also scan im abgesicherten hat auch nix gebracht... der findet nur die 00x-dateien und erkennt sie als diesen ardamax...führt aber keine aktion aus(trotz vollversion) hier hab ich mal nen screenshot von der gelegentlichen fehlermeldung: http://home.graffiti.net/surftim/screen.jpg was mache ich jetzt mit W32/Trojan.CXS und Ardamax? :headbang: sollte ich den thread vielleicht verschieben in "plagegeister"? |
please help :( |
Wenn du die 2 Dateien passwortgeschützt packst auf einen FreeHoster wie z.b. rapidshare.de uploadest und mir dann den Link + dem PW per PN schickst, kann ich die betreffenden Dateien an einige Antiviren-Hersteller weiterleiten um Sicherheit über Backdoor-Funktionailtät zu erhalten. Wenn der Trojaner über eine solche verfügt, ist es sinnlos einen Bereinigungsversuch zu wagen. Du kannst natürlich auch gleich dein System Neuaufsetzen - eine sehr sehr gute und vorallem wichtige Anleitung dazu steht in meiner Signatur. mfg, Markus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board