Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   lied.exe bekümmert mich ! (https://www.trojaner-board.de/62809-lied-exe-bekuemmert-mich.html)

LordOggY 24.10.2008 18:00

lied.exe bekümmert mich !
 
Hallöschen, ich hab nen Quadcore mit Vista Ultimate drauf.
Nun habe ich das Problem das just vor 10 minuten Antivir einen Schädling namens lied.exe in meinem Windowsordner gefunden hat.Diesen hab ich mit Antivir in Quarantäne geschickt und gelöscht.

Jetzt frage ich mich folgendes :

- Hat er sein böses Werk schon verrichtet ?
- Ich mach onlinebanking...Bin ich dann schon im Arsch ?
- Kann es sein das die .exe zwar dort war, aber ich sie noch nicht ausgeführt habe ?
- Ich hab ihn ja mit Antivir, gelöscht, ...ist er nun weg und ich befreit ?
- Was wird lied.exe wohl bewirken ?

Danke im vorraus.hier noch das hijack mopped

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:05, on 24.10.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
E:\Tools\WebrootSecurity\WRConsumerService.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
E:\Tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
E:\Tools\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Tools\cfos\spd.exe
E:\ntune\nTune\nTuneService.exe
C:\Windows\system32\oodag.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
E:\Tools\AntiVir PersonalEdition Classic\avgnt.exe
E:\Tools\WebrootSecurity\SpySweeper.exe
E:\Tools\cfos\cfosspeed.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\svchost.exe
E:\Tools\EXPERTool\TBPANEL.exe
E:\Logitech\SetPoint\SetPoint.exe
C:\Windows\system32\taskeng.exe
E:\Tools\Easytoolz\EasyToolz.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
E:\ICQ\ICQ6\ICQ.exe
C:\Windows\System32\TuneUpDefragService.exe
C:\Windows\system32\svchost.exe
J:\FiFaManager08\Manager08.exe
E:\Tools\WebrootSecurity\SpySweeperUI.exe
E:\Tools\Adaware\Ad-Aware SE Personal\Ad-Aware.exe
E:\Tools\WebrootSecurity\SSU.EXE
C:\Windows\system32\msiexec.exe
E:\Tools\Mozilla Firefox\firefox.exe
E:\Tools\Spywarefighter\configservice.exe
E:\Tools\Spywarefighter\licenseservice.exe
C:\Windows\system32\wbem\wmiprvse.exe
E:\Tools\Spywarefighter\ScannerService.exe
E:\Tools\Spywarefighter\updateservice.exe
E:\Tools\Spywarefighter\Spywarefighter\SpywarefighterUser.exe
e:\tools\spywarefighter\spywarefighter\SPYWAREfighterTray.exe
e:\tools\spywarefighter\product.exe
E:\Tools\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "E:\Tools\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] "C:\Windows\KHALMNPR.EXE"
O4 - HKLM\..\Run: [cFosSpeed] "E:\Tools\cfos\cFosSpeed.exe"
O4 - HKLM\..\Run: [RtHDVCpl] "C:\Windows\RtHDVCpl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "C:\Windows\system32\RUNDLL32.EXE" C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "C:\Windows\system32\RUNDLL32.EXE" C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpySweeper] "E:\Tools\WebrootSecurity\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [spywarefighterguard] E:\Tools\Spywarefighter\spywarefighter\SpywarefighterUser.exe
O4 - HKCU\..\Run: [GAINWARD] "E:\Tools\EXPERTool\TBPanel.exe" /A
O4 - HKCU\..\Run: [NVIDIA nTune] "E:\ntune\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "E:\Tools\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: EasyToolz.lnk = E:\Tools\Easytoolz\EasyToolz.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\Tools\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Poker\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Poker\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Tools\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Tools\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Tools\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Tools\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - E:\Tools\cfos\spd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - E:\ntune\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PTK License-SPYWAREFIGHTER-71293336 - SPAMfighter - E:\Tools\Spywarefighter\licenseservice.exe
O23 - Service: PTK Live Update-SPYWAREFIGHTER-71293336 - SPAMfighter - E:\Tools\Spywarefighter\updateservice.exe
O23 - Service: PTK Scanner-SPYWAREFIGHTER-71293336 - SPAMfighter - E:\Tools\Spywarefighter\ScannerService.exe
O23 - Service: PTK SharedAccess-SPYWAREFIGHTER-71293336 - SPAMfighter - E:\Tools\Spywarefighter\configservice.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Tools\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Tools\Spyware Doctor\pctsSvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - E:\Tools\WebrootSecurity\SpySweeper.exe
O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - E:\Tools\WebrootSecurity\WRConsumerService.exe

--
End of file - 10302 bytes

Sunny 24.10.2008 18:23



Kann es sein das du zeitweilen auch mal MP3's aus dem Netz lädst, z.B. aus DDL-Board?!

LordOggY 24.10.2008 18:27

Natürlich nicht. Deswegen wundert mich ja auch wie das draufgekommen sein kann. Ich hab diese ddl-geschichten gelesen, aber anscheinend vertreibt er sich schon auf anderen kanälen. Die frage ist halt, ob der nun schon ausgeführt war oder ob er da im windooof auf seinen einsatz wartete.

LordOggY 24.10.2008 18:28

ich kann noch dazu sagen, das ad-aware, spywarefighter, antivir und webroot spy weeper keinen ausschlag mehr hatten.

Sunny 24.10.2008 18:30

Ich denke schon das die Datei sich da nicht automatisch "hingebeamt" hat, sondern dorthin kopiert/erstellt wurde.
Das widerum setzt natürlich weitere Malware voraus die sich auf dem System wahrscheinlich rumtreibt:


Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
http://saved.im/ndc5njj4d2lr/entfernen.png
(nach dem scannen auf den Button klicken und Funde löschen lassen!)




Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

LordOggY 24.10.2008 18:37

ich bin grad schon dabei das zu machen, was du mir empfohlen hast.ich bin mal gespannt.


omg...jetz habe ich entdeckt das der Phasmabomber von Eight Wonder eine zugelassene Verbindung in meiner WIndows-Firewall ist...oder wa.r

Sunny 24.10.2008 19:12

Zitat:

Zitat von LordOggY (Beitrag 384983)
omg...jetz habe ich entdeckt das der Phasmabomber von Eight Wonder eine zugelassene Verbindung in meiner WIndows-Firewall ist...oder wa.r


Das sagt mir leider gar nichts. :(

Auch Google weiß darüber nicht wirklich zu viel zu finden...

d.h. wie hier in diesem Bild war eine Verbindung eingetragen?

http://saved.im/ntkwotv1dxfn/unbenannt.bmp

LordOggY 24.10.2008 20:42

AAAAAAAAAAAH Genau sowas ! und nu ????

LordOggY 24.10.2008 21:21

Kann ich davon ausgehen das mein rechner noch safe ist, wenn ich nur 4 Adware reg keys finde bei malwrebytes anti malware ?Ich hab einen kompletten scan durchgeführt.

Sunny 24.10.2008 21:50

Zitat:

Zitat von LordOggY (Beitrag 385027)
Kann ich davon ausgehen das mein rechner noch safe ist, wenn ich nur 4 Adware reg keys finde bei malwrebytes anti malware ?Ich hab einen kompletten scan durchgeführt.


Poste mal den Bericht von Malwarebytes...

LordOggY 24.10.2008 22:49

Ich habe gerad den Panda Scan gemacht und er hat keine Bedrohung feststellen können...allerdings gab es 4. Eine war niedrig und die anderen 3 hat er nicht angezeigt weil ich nicht das programm kaufen will ^^

Sunny 24.10.2008 22:53

Ok .. also wenn ich du wäre, dann würde ich das System trotzdem bald mal ordentlich formatieren wer weiß was da installiert ist/war. ;)
Denn das hier klingt definitiv nicht nach einem Browsergame -> Phasmabomber von Eight Wonder

Sunny

LordOggY 24.10.2008 22:57

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1316
Windows 6.0.6000

24.10.2008 23:52:37
mbam-log-2008-10-24 (23-52-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 43720
Laufzeit: 3 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

LordOggY 24.10.2008 23:16

also mein rechner macht null faxen und kein programm zeigt mehr irgendeine bedrohung an. Ich habe antivir, spywasher, panda activscan, ad-aware, malware bytes anti-malware laufen lassen und es wird nichts mehr erkannt. wenn ich das panda mopped habe durchlaufen lassen, poste ich nochmal die logfile.
Aber wenn alles negativ ist, kann ich doch von relativer sicherheit ausgehen oder ?

LordOggY 25.10.2008 00:08

lol..ich hab den panda scan gemacht und er schreibt :

Herzlichen Glückwunsch ihr rechner ist derzeit nicht infiziert ! :)

Wie sehr kann ich dem vertrauen ?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131