Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   wieder ein virus (https://www.trojaner-board.de/45659-virus.html)

*Krawall$chachtel* 10.11.2007 13:28
wieder ein virus
 
hallo, naja habe grader erst nen trojan downloader entfernt und schon hat man nen neuen schädlich drauf...
hatte gestern mein system neu aufgesetzt, und da muss es passiert sein. Kaspersky lässt mich nicht in ruhe, also muss wirklich was draufsein...weis aber auch nicht genau, was es ist...das ding muss sich ma wieder in der svchost verankert haben, das er diese exe stopt und als virus erkent und es steht als beschreibung invador..

hier ist schon mal mein hijackthis logfile, escan folgt...

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

MightyMarc 10.11.2007 13:41
Zitat:
Zitat von *Krawall$chachtel* (Beitrag 304186)
Kaspersky lässt mich nicht in ruhe, also muss wirklich was draufsein...weis aber auch nicht genau, was es ist...
Ich denke potentiellen Helfern könnte es weiterhelfen, wenn Du exakt beschreiben würdest mit was Dich Kaspersky auf welche Weise penetriert.

Gruß

Marc

*Krawall$chachtel* 10.11.2007 13:45
also. ich hatte davor nen onlinescan mit kaspersky gemacht hier der post, ich mache grad noch einen scan mit dem programm, da kaspersky mir die ohren mit volgenden meldungen vorheult:
explorer.exe, services.exe, svchost.exe sollen mit einem "invader" befallen sein...

hier ein beispiel, was dasteht bei der svchost:
10.11.2007 13:14:15 Prozess C:\WINDOWS\System32\svchost.exe, gefunden: potentiell gefährliche Software 'Invader' (Modifikation).
10.11.2007 13:14:15 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1544): Versuch zum Eindringen in einen anderen Prozess erlaubt.


log von kasp.:

-------------------------------------------------------------------------------
Code:
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Samstag, 10. November 2007 12:00:37
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken: 10/11/2007
 Anzahl der Einträge in den Antiviren-Datenbanken: 455919
-------------------------------------------------------------------------------

Scan-Einstellungen:
        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
        Archive untersuchen: ja
        Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
        C:\

Untersuchungsergebnisse:
        Untersuchte Objekte insgesamt: 41300
        Viren gefunden: 1
        Infizierte Objekte gefunden: 1
        Verdächtige Objekte gefunden: 0
        Untersuchungszeit: 00:53:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\338215937\Messages.mdb        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\338215937\Owner.mdb        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\Application.mdb        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_001_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_002_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_003_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_MAP_        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Temp\~DFF73C.tmp        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007111020071111\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen
C:\System Volume Information\_restore{5FE14484-11D5-4591-831A-1243DFE5B37E}\RP18\A0004977.exe        Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat        übersprungen
C:\System Volume Information\_restore{5FE14484-11D5-4591-831A-1243DFE5B37E}\RP27\change.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{E5FCFB80-2B7A-4FC9-BC35-53621F3ABAA3}.bin        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\drivers\sptd.sys        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen
C:\WINDOWS\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

Die Untersuchung wurde abgeschlossen.
wie aus dem file hervorgeht hab ich den hier drinne: RemoteAdmin.Win32.NetCat

und hier escan:

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK
   
eScan Version: 9.5.4
Sprache: German
Virus-Datenbank Datum: 11/8/2007 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
 
 
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
 Offending Folder found: C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
 Offending Key found: HKCR\magnet !!!
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Gescannte Dateien: 41518
 Gefundene Viren: 2
 Anzahl der desinfizierten Dateien: 0
 Umbenannte Dateien: 0
 Anzahl der gelöschten Dateien: 0
 Anzahl Fehler: 3
 Dauer des Scans bisher: 00:21:22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
 Specherüberprüfung: Aktiviert
 Registry Überprüfung: Aktiviert
 System-Ordner Überprüfung: Aktiviert
 Überprüfung der Systembereiche: Deaktiviert
 Überprüfung der Dienste: Aktiviert
 Überprüfung der Festplatten: Aktiviert
 Überprüfung aller Festplatten :Deaktiviert
 
Batchstart: 13:46:42,62
Batchende: 13:46:45,34

*Krawall$chachtel* 10.11.2007 14:34
Liste der Anhänge anzeigen (Anzahl: 1)
hier hab ich nen screen von dem was kaspersky sagt, habe die objekte in die sichere zone reingenommen, sonst kann man hier ja nimehr arbeiten...

*Krawall$chachtel* 12.11.2007 18:25
tolle wurst...naja dann halt ni, ich such mir woanders hilfe...
verwarn ma schnell noch woanders...hättest ja wenigstens was informatifes dalassen können, wie zum beispiel hilfe..

:snyper:


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131