Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Clientman und schon wieder troj/taladra-f ich bitte euch um Auswertung (https://www.trojaner-board.de/30777-clientman-schon-troj-taladra-f-bitte-euch-um-auswertung.html)

ana7 22.07.2006 00:16
Clientman und schon wieder troj/taladra-f ich bitte euch um Auswertung
 
Hallo. Ich bin wieder am verzweifeln. Mein escan log:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 12:20:37 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Thu Feb 23 13:14:35 2006 => Total Disinfected Objects: 0
Fri Jul 21 23:34:16 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Fri Jul 21 23:34:17 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Fri Jul 21 23:34:21 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Sat Jul 22 00:23:00 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jul 21 23:34:21 2006 => Offending file found: C:\Dokumente und Einstellungen\wpuser\Lokale Einstellungen\temp\outlook logging\firstrun.log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 13:14:35 2006 => Total Objects Scanned: 32792
Sat Jul 22 00:23:00 2006 => Total Objects Scanned: 49341
Thu Feb 23 13:14:35 2006 => Total Critical Objects: 1
Thu Feb 23 13:14:35 2006 => Total Disinfected Objects: 0
Thu Feb 23 13:14:35 2006 => Total Deleted Objects: 0
Sat Jul 22 00:23:00 2006 => Total Critical Objects: 3
Sat Jul 22 00:23:00 2006 => Total Disinfected Objects: 0
Sat Jul 22 00:23:00 2006 => Total Deleted Objects: 0
Thu Feb 23 13:14:35 2006 => Total Errors: 4
Sat Jul 22 00:23:00 2006 => Total Errors: 6
Thu Feb 23 13:14:35 2006 => Time Elapsed: 00:54:47
Sat Jul 22 00:23:00 2006 => Time Elapsed: 00:49:52
Thu Feb 23 12:18:50 2006 => Virus Database Date: 2/3/2006
Thu Feb 23 13:14:35 2006 => Virus Database Date: 2/3/2006
Thu Feb 23 13:15:11 2006 => Virus Database Date: 2/3/2006
Fri Jul 21 23:24:57 2006 => Virus Database Date: 2/3/2006
Fri Jul 21 23:31:36 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 00:23:00 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 00:26:06 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Was ist da faul bitte. Ich bitte euch um hilfe.
Danke Gruss

Sunny 22.07.2006 08:33
@ana7,

erstell mal zusätzlich noch ein Hijacklog, Anleitung in meiner Signatur verlinkt...
Sollte sich aber heraussstellen das dieser hier ->Troj/Taladra-F in deinem System aktiv ist/war, wird dir nur der Weg der Neuinstallation weiterhelfen ....

Gruß
Daniel

ana7 22.07.2006 20:59
Nach dem ich temp files gelöscht habe habe ich keine probleme, eintragungen zum clientman. Ich sende nochmals neue Logfiles:
ESCAN
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jul 22 20:37:56 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Sat Jul 22 20:37:56 2006 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Sat Jul 22 21:26:00 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jul 22 21:26:00 2006 => Total Objects Scanned: 48851
Sat Jul 22 21:26:00 2006 => Total Critical Objects: 2
Sat Jul 22 21:26:00 2006 => Total Disinfected Objects: 0
Sat Jul 22 21:26:00 2006 => Total Deleted Objects: 0
Sat Jul 22 21:26:00 2006 => Total Errors: 6
Sat Jul 22 21:26:00 2006 => Time Elapsed: 00:49:05
Sat Jul 22 20:34:44 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 21:26:00 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 21:26:51 2006 => Virus Database Date: 2/3/2006
Sat Jul 22 21:27:12 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 21:36:24, on 22.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AccessManager\PMAC\sp_SWIns.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Quicken 2006 Zahlungserinnerung.lnk = C:\Programme\Quicken2006\billmind.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Access Manager Configuration Service (AMBroker) - MCI, Inc. - C:\Programme\AccessManager\Client\AMBroker.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Visual Insight DA Plugin (DAPlugin) - MCI, Inc. - C:\Programme\AccessManager\Client\DAPlugin.exe
O23 - Service: FinePrint Dispatcher v5 - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /service (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: pdfFactory Pro Dispatcher v2 - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SP Software Installer - Smartpipes, Inc. - C:\Programme\AccessManager\PMAC\sp_SWIns.exe
O23 - Service: Visual Insight Dial Analysis (sp_spi_da) - Smartpipes, Inc. - C:\Programme\AccessManager\SMOC\spi_da.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Ich bitte Euch nochmals um Hilfe. Danke Gruss

Sunny 22.07.2006 21:05
Hat denn dein eigentlicher Virenscanner auch eine Warnung ausgegeben?
Leider steht in dem Report von eScan nicht wo der Trojaner sich versteckt..


Lass dein System mal online scannen --> Trendmicro Housecall
Poste danach die Auswertung.

Zusätzlich kannst du auch mal einen Scan mit F-Secure Blacklight durchführen. Und ebenfalls das Ergebnis posten..

Gruß
Daniel

ana7 23.07.2006 11:11
Hallo Daniel, erstmal vielen dank.
Zitat:
Hat denn dein eigentlicher Virenscanner auch eine Warnung ausgegeben?
nein (ich benutze NOD32 von Eset)
TrendMicro Auswertung:
1 Infektion
ADWARE_ABETTERINTERNET
Alias Namen: Adware-abetterintrn (McAfee);
not-a-virus:AdWare.Win32.BetterInternet.az (Kaspersky)
Allgemeine Risikoeinstufung Niedrig
Platform: Keine Angabe
Erste Exemplare erhalten am: Keine Angabe
"Allgemeine Informationen zu diesem Gray-/Spyware-Typ"
This adware, when executed, displays an End-User License Agreement (EULA)
containing information meant to deceive the user. Oftentimes, if does not display a EULA.
It also generates pop-up advertisements.
Infektion durch Gray-bzw.Spyware
Sonst wurden "HTTP-Cookies" 1 Gefundene
Sonst Gefundene ein paar Sicherheitslücken

Ich sehe hier keine hinweise auf die taladra-f

Dein angegebene link auf "F-Secure Blacklight" scheint nicht zu funktionieren.

Sunny 23.07.2006 12:14
Zitat:
Zitat von ana7
Dein angegebene link auf "F-Secure Blacklight" scheint nicht zu funktionieren.
Sorry, hab da wohl ein bisschen was vertauscht! Hier nochmal neu: ->F-Secure Blacklight

Dann solltest du dein System zusätzlich noch mit folgenden Tools scannen:

1.) Ad-Aware

2.) Spybot S&D, hierbei hast du die Möglichkeit dein System noch zu "immunisieren" tu dies bitte nach dem Scan..;)

Poste anschliessend das Ergebnis von F-Secure..

Gruß
Daniel

ana7 23.07.2006 22:00
F-secure.... sagt:
"No hidden items found"

ana7 23.07.2006 22:40
Spybot sagt:
Problem
"Microsoft.WindowsSecurityCenter_disabled"
Einstellungen
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2" Regiestrierungsdatenbank-Änderung

Was bedeutet dies? Soll ich jetzt Markierte Problem beheben, oder nicht?
Dank und Gruss

felix1 24.07.2006 11:15
Hast Du den Teatimer von Spybot mitinstalliert?
Wenn ja, deaktiviere ihn im Programm.

dartus 24.07.2006 12:05
Hallo ana7,

das bedeutet, dass Dein "WindowsSecurity-Center" ausgeschaltet ist.
Mehr dazu --> HIER

dartus

Hi felix1 ;)

ana7 24.07.2006 12:47
@dartus vielen dank
@felix auch danke
Zitat:
Hast Du den Teatimer von Spybot mitinstalliert?
Wenn ja, deaktiviere ihn im Programm.
Ja mitinstaliert und so eben deaktiviert. Was kann ich nun tun?
Wie krige ich bitte die "taladra-f" weg?:headbang:

ana7 24.07.2006 13:25
Ich habe so eben in der registrierung nach "({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})" suchen lassen und bin zu 2 funden gekommen:

HKEY_CLASSES_ROOT
CLSID\{e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c}

HKEY_CLASSES_ROOT
NTService.Control.1\CLSID
default {e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c}

Kann ich nun die beiden dateien in der regiestrierung löschen, oder bin ich auf dem holzweg?:confused: danke

felix1 24.07.2006 14:05
Ad-ware und S&D updaten und nochmals laufen lassen.
Lade RegSeeker Installieren und starten. Prüfen lassen.
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!

Hi Dartus:daumenhoc

ana7 24.07.2006 15:41
@felix @dartus vielen dank.
Ad-ware: nix gefunden

Spybot sagt wie gehabt:
Problem
"Microsoft.WindowsSecurityCenter_disabled"
Einstellungen
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\wscsvc\Start!=W=2" Regiestrierungsdatenbank-Änderung
Ich wurde gefragt ob Markierte Problem beheben? Dies habe ich nicht durchgeführt

RegSeeker Installieren und starten. Prüfen lassen.
Habe ich gemacht
Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Erledigt.
NACH DEM ESCAN "troj/taladra-f" WEITERHIN VORHANDEN

felix1 24.07.2006 19:27
Ich habe mir jetzt den Thread nochmals komplett durchgelesen. Leider komme ich zu einem für Dich unbefriedigendem Ergebnis:
http://www.sophos.de/security/analys...jtaladraf.html
http://www.pc-magazin.de/internet/cm...os.php?id=1920

Es bedeutet:
http://www.trojaner-board.de/showthread.php?t=12154


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:03 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131