Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner -->AGGRESSIV (https://www.trojaner-board.de/7744-trojaner-aggressiv.html)

ReNeGaDe 21.09.2004 20:11
Trojaner -->AGGRESSIV
 
servuz,
genau sone page hab ich gesucht (menge spezialisten hier).
also problem wie folgt: virenscanner sagt trojaner in msnmsg.exe gefunden kann aber nicht entfernt werden deweiteren gehen taskmanager,regedit,msconfig nicht (öffnen sich für 1/10 sek dann sofort weg!).
hier log:

unning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\MMTASK6.EXE
C:\Programme\Winamp\winampa.exe
C:\vx.exe
C:\WINDOWS\System32\msnmsg.exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\USERNAME\LOKALE~1\Temp\~AceTemp\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Winsock2 driver] MMTASK6.EXE
O4 - HKLM\..\Run: [msn] msnmsg.exe
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\Run: [msn] msnmsg.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [Winsock2 driver] MMTASK6.EXE
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F099F2F6-9D97-48F9-9A95-FCC29AF34ACA}: NameServer = 192.168.2.1

Shadowdance 22.09.2004 06:07
Hallo ReNeGaDe,

sei so nett und lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083

Teile uns dann, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren, die auf Deinem System gefunden worden sind, mit:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:

Erstelle ein neues Logfile mit Hijack This und poste es.

Gruss
Shadowdance

Cidre 22.09.2004 08:17
@ ReNeGaDe

Bevor du den eScan anwendest, solltest du folgendes abarbeiten:

Schicke bitte diese Datei gezippt C:\WINDOWS\System32\MMTASK6.EXE zur Dateianalyse an mailto:virus@rokop-security.de und poste das Ergebnis.

Auf deinem System laufen mehrere Würmer mit Backdoor Funktionalität ständig mit. Daher empfehle ich dir dein System, zu deiner eigenen Sicherheit, neu aufzusetzen, da es nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Der Übeltäter ist der W32/Rbot-GO alias Backdoor.Rbot.gen, siehe http://www.sophos.de/virusinfo/analyses/w32rbotgo.html :
O4 - HKLM\..\RunServices: [msn] msnmsg.exe
O4 - HKCU\..\RunServices: [msn] msnmsg.exe

Eine Lösung zur Entfernung des Backdoor.Rbot.gen wird dir hier angeboten:
http://www.trojaner-board.de/showpos...96&postcount=9


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19