Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner?!? (https://www.trojaner-board.de/38145-trojaner.html)

!!!CVN!!! 19.04.2007 15:36
Trojaner?!?
 
Hallo!
AntiVir hat einen Trojaner auf dem PC meines Kumpels gefunden. Der Trojaner hatte den Namen "TR/Agent.40448". Er wurde in der Datei "C:\DOKUME~1\***\LOKALE~1\Temp\CMDLIN~2.DLL" gefunden. Könnt ihr mir sagen, ob das eine Fehlermeldung war und ob irgendetwas Bösartiges auf dem PC zu finden ist?
Hier mal sein Logfile:
Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

413X65 19.04.2007 15:57
hmm sieht eigentlcih nicht so schlimm aus

Fixe das hier:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 1&1 Internet AG

was ist das?
D:\test.com

das auch fixen:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Sunny 19.04.2007 16:00
@413X65

Bitte erkläre dem User !!!CVN!!! mal bitte was er da fixt bzw. entfernt? :cool:

Du weisst ja anscheind was du tust. :rolleyes:

Sunny

!!!CVN!!! 19.04.2007 16:03
Hallo! Test.com ist HiJackThis. Er hats umbenannt.
Kann noch jemand anders dazu Stellung nehmen?
Ich möchte wissen, ob 413X65 auch wirklich recht hat!
Er ist meiner Meinung nach nicht so erfahren wie beispielsweise [Gc]Sunny!!!

Gruss CVN

myrtille 19.04.2007 16:08
Ich würd mich an Sunny halten. :blabla:

Sunny 19.04.2007 16:08
Das Hijacklog sieht meiner Ansicht nach gut aus, was aber nichts zu bedeuten hat.

Mach als nächstes mal folgendes:


Cleanup:

Lies dir diese Anleitung durch und stelll den Cleanup genauso ein wie es dargestellt ist. ;)

Lass danach dein System nochmals mit eScan überprüfen und poste wie gerade ebend das Ergebnis.


Arbeiten mit MWAV (eScan)

!!!Englische Sprache wählen!!!
* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Dann sehen wir weiter.. ;)

Sunny

!!!CVN!!! 20.04.2007 11:09
Hallo!
Hier mal das Ergebnis von EScan!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Apr 19 17:32:57 2007 => Version 9.1.9 (C:\DOKUME~1\***\LOKALE~1\Temp\mexe.com)
Thu Apr 19 17:20:10 2007 => Virus Database Date: 4/18/2007
Thu Apr 19 17:22:33 2007 => Virus Database Date: 4/19/2007
Thu Apr 19 17:32:06 2007 => Virus Database Date: 4/19/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 19 17:37:48 2007 => System found infected with sahagent Spyware/Adware (lsp.dll)! Action taken: No Action Taken.
Thu Apr 19 17:38:21 2007 => System found infected with sahagent Spyware/Adware (C:\WINDOWS\system32\lsp.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Thu Apr 19 18:06:16 2007 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Identities\{0B9F4179-B931-4B4D-B3B1-8C3E1954B29A}\Microsoft\Outlook Express\Posteingang.dbx/[From:"Rechnung Singel.de" <][Subject:Single.de">gebuehrenzentrale2334@single.de>][Subject:Single.de Lastschr... infected by "Trojan-Downloader.Win32.Nurech.bd" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Apr 19 17:37:48 2007 => Offending file found: C:\WINDOWS\system32\lsp.dll
Thu Apr 19 17:38:21 2007 => Offending file found: C:\WINDOWS\system32\lsp.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Apr 19 17:38:06 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\eigene musik\metallica\load
Thu Apr 19 17:38:16 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\metallica\load
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 19 17:32:57 2007 => Memory Check: Enabled
Thu Apr 19 17:32:57 2007 => Registry Check: Enabled
Thu Apr 19 17:32:57 2007 => System Folder Check: Enabled
Thu Apr 19 17:32:57 2007 => System Area Check: Disabled
Thu Apr 19 17:32:57 2007 => Services Check: Enabled
Thu Apr 19 17:32:57 2007 => Drive Check: Disabled
Thu Apr 19 17:32:57 2007 => All Drive Check :Enabled
Thu Apr 19 17:32:57 2007 => All Drive Check :Enabled


Ich hoffe, ihr könnt damit was anfangen!

Gruss CVN

undoreal 20.04.2007 11:34
Halli hallo.

Du kannst eigentlich am einfachsten folgendes machen:

-Zippe diesen Ordner und belege ihn mit einem Passwort:
" C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\metallica\load " (nur damit eScan keinen Blödsinn machen kann :) )

-Suche diese E-Mail und lösche sie. Auch aus dem Papierkorb!
[From:"Rechnung Singel.de" <][Subject:Single.de">gebuehrenzentrale2334@single.de >][Subject:Single.de Lastschr..

-Dann mache den Scan noch mal, nur lasse diesmal den Haken bei "Scan only" weg.

-Dann lasse cleanUp arbeiten. Die Registry bitte mehrmals bereinigen.

-Zum Abschluss konfigurierst du AV aggressiv und machst einen kompletten scan im abgesicherten Modus.

-Meiner Meinung nach sollte er danach alle im Browser verwendeten Passwörter ändern!!!

Und hier noch was zum lesen.

Gruß

Undoreal

!!!CVN!!! 20.04.2007 13:43
Hallo! Er hat sich jetzt das Programm CleanUp runtergeladen, nur ist das Problem, dass wir beide nicht ganz verstehen, was man dort einstellen muss. Vor allem die Registry macht uns da Probleme.
Bitte um schnelle Antwort!

CVN

undoreal 20.04.2007 13:49
Ich arbeite mit cCleaner und hab' in meiner Beschreibung nur cleanUp genannt weil ich dachte du hättest das schon.

Zitat:
Cleanup:

Lies dir diese Anleitung durch und stelll den Cleanup genauso ein wie es dargestellt ist.

Lass danach dein System nochmals mit eScan überprüfen und poste wie gerade ebend das Ergebnis.
du musst schon alles ab arbeiten was dir so gepostet wird oder entsprechende Informationen geben! An sonsten kann dir keiner helfen!!! :kloppen:

Drück doch einfach mal auf "Clean UP" ?!!! :crazy:
CleanUp! Version 3.0

!!!CVN!!! 20.04.2007 15:13
Hallo!
Wir haben jetzt CleanUp! durchlaufen lassen und alles löschen lassen. Danach eScan mit 2 Virenfunde, die gelöscht wurden. Danach nochmals eScan und AntiVir-Suchlauf; beides ohne jeglichen Befund!
Hab ich den Trojaner somit los??

Gruss CVN

Apocalypt 20.04.2007 15:19
Es wäre hilfreich wenn du die eScan Ergebnisse sowie einen neuen HJT-Logfile postes.

undoreal 20.04.2007 15:24
eScan log kannste posten musst du aber auch nicht wenn eh alles ohne Fehler gelöscht wurde.

Dann bist du clean.

Gruß

Undoreal

!!!CVN!!! 20.04.2007 15:26
OKAY, vielen Dank für eure Hilfe!

Gruss CVN


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131