Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Trojan-Downloader.BAT.Ftp.c (https://www.trojaner-board.de/36613-trojaner-trojan-downloader-bat-ftp-c.html)

mhgm 25.02.2007 16:44

Trojaner Trojan-Downloader.BAT.Ftp.c
 
Hallo
hatte den Logfile in der falschen Rubrik gepostet
entschuldigung hier ist er noch einmal

das sagte escan:

at Feb 24 18:43:35 2007 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.c" Virus! Action Taken: No Action Taken.


Hi,

vielen vielen Dank für die Info,
hier kommt der log file.
ja ja ich weiss mir fehlt sp2
Nutze als Standardbrowser Firefox


Logfile of HijackThis v1.99.1
Scan saved at 09:42:32, on 25.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Firebird\Bin\ibguard.exe
C:\PROGRA~1\Firebird\Bin\ibserver.exe
C:\WINDOWS\System32\GEARSec.exe
D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
D:\Programme\D-Link\Air USB Utility\AirCFG.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\MailWasher Pro\MailWasher.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\SpeedCommander 10\SpeedCommander.exe
C:\Programme\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [D-Link Air USB Utility] D:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094052738687
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: FirebirdGuardian - FirebirdSQL Project - C:\PROGRA~1\Firebird\Bin\ibguard.exe
O23 - Service: Firebird Server (FirebirdServer) - FirebirdSQL Project - C:\PROGRA~1\Firebird\Bin\ibserver.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Common\Database\bin\fbserver.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cosinus 25.02.2007 20:57

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Sorry, aber dieses schlecht gewartete System würde ich nicht versuchen wollen zu bereinigen. Der Schädling dürfte aktiv geworden sein, der sitzt ja schließlich schon im system32-Ordner. Setz neu auf oder spiel ein sauberes Image ein (ja wenn man Backupprogramme wie Ghost schon installiert hat, sollte man es auch nutzen):

Zitat:

O23 - Service: Norton Ghost - Symantec Corporation - D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
Sieh zu, dass das SP2 schnellstmöglich installiert wird.

mhgm 26.02.2007 07:37

Internet Explorer habe ich nicht auf dem aktuellen Stand
gehalten, da ich Firefox nutze.

Ich habe noch ein Image nur weiss nich natürlich nicht
ob der Trojaner da schon drauf war.

Würde ungern das System neu aufsetzten, gibt es wirklich
nur noch diese eine Lösung ???

Was verursacht der Trojaner ???? Konnte bis jetzt keine
Beeinträchtigungen erkennen ????

Vielen Dank für Eure Hilfe

cosinus 26.02.2007 18:08

Zitat:

Internet Explorer habe ich nicht auf dem aktuellen Stand
gehalten, da ich Firefox nutze.
Damit meine ich nicht nur den IE, das Gesamtsystem muss aktuell gehalten werden. => Fehlendes SP2.
Zitat:

Ich habe noch ein Image nur weiss nich natürlich nicht
ob der Trojaner da schon drauf war.
Das ist natürlich bitter, denn so kann man nicht von einem vertrauenswürdigen System ausgehen, wenn dieses Image zurückgespielt wird.
Zitat:

Was verursacht der Trojaner ???? Konnte bis jetzt keine
Beeinträchtigungen erkennen ????
Guckst du hier. Das Ding lädt weiteren Schadcode nach, welcher genau weiß vllt. wohl nur der Schädlingsautor.
Die Dinger laufen meist so, dass der gemeine User nichts von der Sache mehr wirklich was mitbekommt - und deswegen gibts auch soviel durch Spam überfüllte Postfächer, weil befallene Rechner von den Angreifern zu Botnetzen zusammengefasst und zu allerhand illegalen Aktivitäten genutzt werden kann. Spam verschicken ist da eher noch "harmlos" :rolleyes:

Ich würde sagen, du folgst mal dem Link "Neu aufsetzen" in meiner Signatur und setzt alles um was dort steht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19