Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   MineSweep.exe - Trojaner,Virus etc.? (https://www.trojaner-board.de/44198-minesweep-exe-trojaner-virus-etc.html)

Duki 03.10.2007 19:20
MineSweep.exe - Trojaner,Virus etc.?
 
Hallo,

als ich eben meine Startprogramme bei msconfig checken wollte sah ich da MineSweep
Das Spiel MineSweeper könnts nich sein da es ja "winmine.exe" heißt.
Hijackthis sagte das
Zitat:
O4 - HKCU\..\Run: [Microsoft Server Applacations] MineSweep.exe
Nicht bekanntes Programm
Zitat:
C:\WINDOWS\system32\MineSweep.exe

Und Google verweist nur auf komische Seiten.
Kennt jemand von euch diesen Prozess? Ist es ein Virus,Trojaner etc.?


Duki


EDIT: hab auch schon mit AntiVir den Ordner system32 durchsucht,hat nichts gefunden

cosinus 03.10.2007 19:22
Werte die Datei online bei Virustotal aus und poste die Ergebnisse.
Poste auch das komplette Hijackthis-Logfile.

Duki 03.10.2007 19:37
Erstmal danke für die schnelle Antwort
Die Datei konnte ich nicht finden,hab auch bei den Ordneroptionen geschützte Systemdateien ausblenden ausgeschaltet aber trotzdem nicht gefunden.
Hier das Logfile:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 19:37:21, on 03.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\oodag.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\D-Link\Air USB Utility\AirCFG.exe
D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\MineSweep.exe
D:\Programme\Avira\AntiVir PersonalEdition Premium\update.exe
C:\Dokumente und Einstellungen\...\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O4 - HKLM\..\Run: [D-Link Air USB Utility] D:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Server Applacations] MineSweep.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft Server Applacations] MineSweep.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Server Applacations] MineSweep.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\Programme\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

cosinus 03.10.2007 21:26
Die Datei ist aber vorhanden, es ist ein laufender Prozess:

C:\WINDOWS\system32\MineSweep.exe

Kopiere den Pfad zur Datei in das Dateiadressfeld doch mal bei Virustotal hinein und versuch sie dadurch auszuwerten.
Ansonsten probier mal im abgesicherten Modus die Datei zu verschieben und umzubenennen - diese dann auswerten lassen.

Duki 04.10.2007 14:02
Ok hab einfach mal den Pfad eingefügt.Wusste nicht genau wie ich das reinposten sollte und deshalb hab ich die Seite einfach gespeichert und auf meinen Sever hochgeladen:
h**p://duki.pytalhost.de/mine.html

Aufjedenfall sollte ich es jetzt fixen oder?

Ich weiß glaub ich auch wie ich mir den eingefangen hab^^
Ich hab mir nen WinRar Cr*ck mal gedownloadet und als ich doppelt auf die Datei geklickt hab verschwand sie.Nur komisch dass AntiVir die Datei nicht gefunden hat obwohl bei Virustotal ja "HEUR/Crypted" steht.

Die Avira Seite sagte auch dass ^^
Zitat:
Bitte beachten Sie das Cracks, gecrackte Programmdateien oder auch Keygeneratoren häufig mit den ähnlichen Methoden modifiziert sind. Deshalb ist es im Bereich des Möglichen, dass Avira AntiVir's AHeAD Heuristik diese Dateien ebenfalls erkennt. Bitte beachten Sie auch, dass sich Trojaner oft als solche Programme tarnen.

cosinus 04.10.2007 19:43
Fixen kannst du da garnichts mehr, bei Sdbot-Befall (backdoor) solltest du die Kiste neu aufsetzen.

Zitat:
Ich hab mir nen WinRar Cr*ck mal gedownloadet und als ich doppelt auf die Datei geklickt hab verschwand sie.Nur komisch dass AntiVir die Datei nicht gefunden hat obwohl bei Virustotal ja "HEUR/Crypted" steht.
Das ist nicht ungewöhnliches, denn auf einen Virenscanner ist kein Verlass.

Duki 04.10.2007 21:57
Was macht der jetzt eigentlich?
Sendet er alle meine Passwörter ins Internet oder so?

cosinus 04.10.2007 22:07
Zum Beispiel, ja.
Der Sdbot ermöglicht anderen Vollzugriff auf deinen Rechner, d.h. er kann auch deinen Rechner benutzen um Spam zu versenden oder um Angriffe auf server starten - das meist im Verbund mit meheren Rechnern im sog. Botnetz.

Setz deine Kiste neu auf und ändere sämtliche Passwörter wenn die Kiste wieder sauber und abgesichert ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27