Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner -Packed.Win32.Klone.g (https://www.trojaner-board.de/30681-trojaner-packed-win32-klone-g.html)

j23 17.07.2006 22:28
Trojaner -Packed.Win32.Klone.g
 
Hallo zusammen,
ich habe mehrere Trojanen etc.Trojan-Downloader.Win 32.Zlob.yx eingefangen.F-Secure kann das nicht beheben und da ich überhaupt nicht auskenn hoffe,jemand kann mir helfen.
Logfile und dat .txt füge ich bei.

Logfile of HijackThis v1.99.1
Scan saved at 23:26:27, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ctfmon.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
D:\WINDOWS\System32\nvsvc32.exe
F:\Programme\F-Secure Internet Security\Common\FCH32.EXE
D:\WINDOWS\System32\svchost.exe
F:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
F:\Programme\F-Secure Internet Security\FSPC\fspc.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
D:\WINDOWS\system32\ishost.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
F:\Programme\F-Secure Internet Security\Common\FSM32.EXE
D:\WINDOWS\system32\ismon.exe
F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe
D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\Update.exe
F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
F:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
F:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\HPZipm12.exe
F:\Programme\Skype\Phone\Skype.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
D:\Programme\Skype\toolbars\Skype for Outlook\SkypeOBE.exe
F:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
G:\adware05\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "F:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "F:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: F-Secure 2006.lnk = F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: hp psc 2000 Series.lnk = F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = F:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &eBay Search - res://F:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Dieses Popup &blockieren - F:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093879049193
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133543935379
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe




Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Laut F-Secure sind : ishost.exe und ismon.exe befallen, soll u. kann ich das löschen????

Verzeichnis von D:\WINDOWS\system32

17.07.2006 15:51 626.742 twabc.ini
17.07.2006 15:39 12.800 ismon.0xe ( befallen ??-F-Secure)
17.07.2006 15:35 2.206 wpa.dbl
15.07.2006 16:34 38.925 byxxvwt.dll
15.07.2006 16:34 105.488 ISHOST.0XE ( befallen ??? )
15.07.2006 13:38 39.276 perfc009.dat
15.07.2006 13:38 309.564 perfh009.dat
15.07.2006 13:38 47.562 perfc007.dat
15.07.2006 13:38 314.822 perfh007.dat
15.07.2006 13:38 718.592 PerfStringBackup.INI
15.07.2006 12:17 1.187.840 winsflt.dll
12.07.2006 22:26 97 mcrh.tmp
10.07.2006 21:14 1.187.840 winsflt.1
09.07.2006 11:09 39.437 mljgfda.dll
08.07.2006 14:47 623.839 twabc.bak2
07.07.2006 23:26 81.984 bdod.bin
07.07.2006 22:18 31 getfile.dat
07.07.2006 18:43 623.283 twabc.bak1
07.07.2006 18:42 569.396 cbawt.dll
06.07.2006 21:46 39.437 khfefdd.dll
06.07.2006 21:45 18.432 winupx32.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
01.05.2006 21:24 81.920 ElbyCDIO.dll

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\DOKUME~1\Tom\LOKALE~1\Temp

15.07.2006 13:26 200 VisioCA.log
15.07.2006 12:13 166.500 BWInstall.log
15.07.2006 12:10 26.404 BWDump.log
13.07.2006 19:50 69.632 UninstallRC-4476822.dll
12.07.2006 23:21 196.660 BWInstall.log.old
5 Datei(en) 459.396 Bytes
0 Verzeichnis(se), 1.755.611.136 Bytes frei

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\WINDOWS

17.07.2006 15:38 0 0.log
17.07.2006 15:37 159 wiadebug.log
17.07.2006 15:36 1.968.714 WindowsUpdate.log
17.07.2006 15:36 50 wiaservc.log
17.07.2006 15:35 2.048 bootstat.dat
15.07.2006 16:19 32.228 SchedLgU.Txt
15.07.2006 13:28 1.262.804 iis6.log
15.07.2006 13:28 205.656 comsetup.log
15.07.2006 13:28 215.051 ntdtcsetup.log
15.07.2006 13:28 479.184 tsoc.log
15.07.2006 13:28 48.549 tabletoc.log
15.07.2006 13:28 1.374 imsins.log
15.07.2006 13:28 52.835 ocmsn.log
15.07.2006 13:28 12.596 KB917159.log
15.07.2006 13:28 175.502 netfxocm.log
15.07.2006 13:28 329.568 ocgen.log
15.07.2006 13:28 59.247 medctroc.Log
15.07.2006 13:28 50.933 msgsocm.log
15.07.2006 13:28 1.069.211 FaxSetup.log
15.07.2006 13:27 343.172 msmqinst.log
15.07.2006 13:21 1.467 win.ini
15.07.2006 13:17 1.374 imsins.BAK
15.07.2006 13:17 12.433 KB914388.log
15.07.2006 13:17 44.078 updspapi.log
15.07.2006 13:14 10.358 KB916595.log
15.07.2006 13:08 7.344 fsiuupd.log
15.07.2006 12:18 310.562 RunSetup.log
15.07.2006 12:18 3.524.050 FSSFM.log
15.07.2006 12:18 8.638.287 FSISU.log
15.07.2006 12:18 826.449 FSPROD.log
15.07.2006 12:18 4.202 NEWSINST.LOG
15.07.2006 12:18 1.336.450 FSSETUP.log
15.07.2006 12:18 40.717 FSSCINST.log
15.07.2006 12:18 296.076 FSSSINST.log
15.07.2006 12:18 14.445 HELPINST.LOG
15.07.2006 12:18 27.799 FSSYSUPD.LOG
15.07.2006 12:18 100.603 FSASWSIN.log
15.07.2006 12:18 20.413 FSPCINST.LOG
15.07.2006 12:18 3.774 fsavunin.log
15.07.2006 12:18 88.283 fsmainst.log
15.07.2006 12:18 13.600 FSASWINS.LOG
15.07.2006 12:18 7.980 FSAVCSIN.LOG
15.07.2006 12:18 9.398 FSGUIINS.LOG
15.07.2006 12:18 10.228 fsdginst.log
15.07.2006 12:18 98.657 fwesinst.log
15.07.2006 12:18 47.007 fstnbins.LOG
15.07.2006 12:18 12.107 fsrif.log
15.07.2006 12:17 61.481 fwinst.log
15.07.2006 12:17 159.671 FSAVINST.LOG
15.07.2006 12:17 2.185 DAASINST.LOG
15.07.2006 12:15 746.355 FSDEPH.log
15.07.2006 12:15 13.312 FSSGSUP.LOG
15.07.2006 12:15 45.805 fsbwinst.log
15.07.2006 12:15 2.068 FSPRODRM.LOG
15.07.2006 12:15 478.012 fssgpex.LOG
15.07.2006 12:10 118.842 bwUnin-6.3.2.123-4476822L.exe
15.07.2006 12:08 16.373 Q-Klez.log
12.07.2006 23:27 1.992 FSPCUNIN.LOG
12.07.2006 22:24 561 daasunin.LOG
12.07.2006 22:24 1.255 fsdgunst.log
12.07.2006 22:24 2.981 fsmaunin.log
12.07.2006 22:24 1.966 FSASWUNI.LOG
12.07.2006 21:56 6.060 setupact.log
12.07.2006 21:31 1.153.630 ntbtlog.txt
12.07.2006 21:15 16 wininit.ini
11.07.2006 22:41 545.653 setupapi.log
10.07.2006 23:18 272 system.ini
19.06.2006 19:49 14.114 mozver.dat
19.06.2006 18:45 93.161 spupdsvc.log
16.06.2006 22:52 12.972 KB917734.log
16.06.2006 22:52 61.781 wmsetup.log
31.05.2006 04:34 1.141 WISO.INI
31.05.2006 04:20 2.964 tm.ini


Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\

17.07.2006 16:59 0 sys.txt
17.07.2006 16:59 11.447 system.txt
17.07.2006 16:59 903 systemtemp.txt
17.07.2006 16:59 113.279 system32.txt
17.07.2006 15:53 11.447 windows.txt
17.07.2006 15:52 498 temp.txt
17.07.2006 15:35 267.964.416 hiberfil.sys
17.07.2006 15:35 1.006.632.960 pagefile.sys
8 Datei(en) 1.274.734.950 Bytes
0 Verzeichnis(se), 1.752.637.440 Bytes frei

Vielen Dank im voraus
MfG J23

Mellosun 17.07.2006 22:39
Hallo j23,

die Suchfunktion im Bord hätte Dir geholfen.

Lies diese Anleitung genau durch und Handel danach!


Gruß Mellosun

EDIT: Nabend Cosinus:party:

cosinus 17.07.2006 22:40
Zlob oder Klone.G? Oder ist der Klone.G ein Zlob/Smitfraud etc. Vertreter?
Zitat:
D:\WINDOWS\system32\ishost.exe
D:\WINDOWS\system32\ismon.exe
Sollten m.W. zum Zlob gehören. Kannst diese beiden Dateien aber nochmal zur Gewissheit bei Virustotal oder Jotti auswerten lassen. Ansonsten sieht das HJT-Logfile okay aus, von daher solltest Du Dich mal genau an diese Anleitung halten.
Ich bin zwar nicht der Profi im Auswerten der datfind-Logs, aber einige Dateien kommen mir nicht koscher vor, z.B. diese:
Zitat:
15.07.2006 16:34 38.925 byxxvwt.dll
12.07.2006 22:26 97 mcrh.tmp
10.07.2006 21:14 1.187.840 winsflt.1
09.07.2006 11:09 39.437 mljgfda.dll
Evtl. sind diese (und andere) Dateien die Folge von Zlob.

Edit: Nabend Mellosun! :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131