|
Kann mir jemand bei der auswertung des Logfile helfen? Ich habe mir einen Wurm eingefangen :headbang: WORM/IRCBot.24040' [worm] wurde in der Datei 'C:\WINDOWS\system32\sysprinters.dll' gefunden. Habe versucht den Worm zu isolieren jedoch bin ich mir mit dem Logfile nicht ganz sicher. kann mir da jemand weiterhelfen? C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\System32\DSentry.exe D:\zertifizierte Programme\Logitech\iTouch\iTouch\iTouch.exe C:\WINDOWS\System32\LVComS.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Logfile\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\zertifizierte Programme\Logitech\iTouch\iTouch\iTouch.exe O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVComS.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe -a O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download all links using BitComet - res://D:\bittorent\Programm\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download link using &BitComet - res://D:\bittorent\Programm\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29a7c313af7afc272f16/netzip/RdxIE601_de.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
Hi, leider dumm gelaufen für dich: Der IRCbot ist ein Backdoortrojaner, das heißt jemand anderes kontrolliert jetzt deinen Computer. Um den Rechner wieder fest in deine Hand zu kriegen, bleibt dier leider nichts anderes übrig als neuaufzusetzen Du hast nicht zufällig in letzter Zeit von jemandem ein Photoalbum via InstantMessenger bekommen? Derzeit breitet sich der Wurm auf die Weise sehr stark aus und es ist recht wahrscheinlich, dass du dir den Buben auf dieselbe Art und Weise eingefangen hast. Für dich im Endeffekt unwichtig, aber für uns hilfreich, wäre es wenn du die Datei: Zitat:
lg myrtille EDIT:hier werden noch einige andere (bereits bekannte) Dateien genannt, die der Trojaner erstellt, derzeit aber nicht erkannt werden und auch nicht so leicht entfernt werden können. |
Hab mir sowas schon gedacht nach etwas stöbern im Netz.. die XP CD ist schon mal hervorgekramt und im Laufwerk plaziert... jo klar werde ich doch noch machen bevor die HD gelöscht wird. Besten dank joderno |
Könnte dies als lösung reichen? Jedoch wird ja Der folgende Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten. – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] • _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe der Virus erstellt ein “install” Verzeichnis unter C:\ in welcher sich eine ghost.exe befindet –> sollte umgehend gelöscht werden, desweiteren eine “sysprinters.dll” unter Windows/system32 die auch sofort gelöscht werden sollte, danach sollte das System relativ befreit sein, nat. noch mit registriersuchern nach “myalbum2007″ die registry durchsuchen bzw. allg. in der Windowssuche alle Dateien dieses Namens, nat. auch die zip Datei in den msn empfangenen Daten. |
Die Frage ist halt nur, glaubst du alles gefunden zu haben? :) Du hast schonmal mehr gefunden als dein Antivirenprogramm, was dir sicherlich schonmal klargemacht hat, dass man sich auf solche Programme eben nicht 100%ig verlassen kann. Aber glaubst du, dass das alles war? Glaubst du, dass der Ersteller des Trojaners nicht sicher gestellt hat, dass ein bischen Löschen und Fummeln in der Registry seinen Trojaner nicht zerstört? Vermutlich steckt er noch woanders. Die von Sunny genannten Dateien, werden wohl immer erstellt, auch wenn man sie nicht finden kann, zudem würde ich vermuten, dass sich der Trojaner in die Systemwiederherstellung einträgt um sich von dort aus wiederzubeleben und wahrscheinlich noch an 3-4 Stellen von denen hier noch niemand was weiß. Wirklich beantworten kann dir die Frage nur der Ersteller des Virus und selbst der weiß nicht (und das ist das große Problem an der Sache) was passiert ist nachdem das "Backdoor" auf deinem Rechner aktiviert worden ist. Du müsstest jetzt also noch alle Leute finden, die auf deinen Rechner hätten gelangen können und diese fragen ob und was sie auf deinem Rechner versteckt haben. Natürlich findet man meistens früher oder später raus was der Trojaner selbst tut, bzw tun kann (und kann diesen so entfernen), was aber nach der Installtion des Trojaners von Leuten die Zugang haben alles auf deinem Rechner manipuliert wurde, kann keiner sagen. Deswegen empfehlen wir auch die Neuinstallation. lg myrtille EDIT: Ok irgendwie hab ich da eben was verwechselt: Ob der Trojaner nen Server aufsetzt um Dateien über deinen Rechner zu vertreiben ist noch nicht klar, allerdings gewährt er auf jedenfall Leuten Einlass. Sophos sagt übrigens du hättest außerdem noch eine new.txt an Bord, die du noch nicht gefunden hast. ;) |
Hallo, Zitat:
Es ist noch gar nicht so lange her ,da war man sich relativ sicher,daß : - die Erde eine Scheibe ist... -der Storch die Babys bringt... -der Weihnachtsmann am Nordpol wohnt.... ;) Irrlicht |
GRINS ok Relativ ist etwas wage ausgedrückt. hab mein system neu aufgesetzt! :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board