Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   trojaner und andere störenfriede (https://www.trojaner-board.de/9174-trojaner-andere-stoerenfriede.html)

pannewitz 04.11.2004 11:16
trojaner und andere störenfriede
 
habe seid ca. 2 wochen massive probleme mit trojanern und anderen störenfrieden (dailern). habe jetzt mehrfach mit norton antivirus, spybot und hijack versucht die kiste wieder sauber zu kriegen, bislang ohne erfolg. sieht so aus, als ob mein rechner gezielt nach dem kram sucht. bin jetzt mit meinem latain am ende (habe jetzt firefox als standart-browser - hoffe das hilft). vielleicht hat von euch noch jemand eine idee, schicke mal ein aktuelles logfile mit.

pannewitz

Logfile of HijackThis v1.98.2
Scan saved at 11:02:28, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Klebezettel NG\klebez.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
E:\Installs\HijackThis\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Klebezettel NG] "C:\Programme\Klebezettel NG\klebez.exe"
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file) (HKCU)

Shadowdance 04.11.2004 12:28
Hallo pannewitz,

überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System\MSMSGSVC.exe
C:\WINDOWS\system32\slserv.exe

Ergebnis?

Platform: Windows XP SP1 (WinNT 5.01.2600). Besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.e-finder.cc/search/ (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.e-finder.cc/search/ (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ht*p://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = ht*p://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = ht*p://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll

O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe

O9 - Extra button: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1505CF93-5C7E-4584-83FC-8FF7AFC639D1} - (no file) (HKCU)

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://default.home

boote in den normalen Modus.

beende:

bargains.exe

lösche:

C:\WINDOWS\dpe.dll
C:\Programme\BullsEye Network\bin\bargains.exe

Aktiviere die Systemwiederherstellung,

Lade den eScanrunter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

pannewitz 04.11.2004 22:39
hier erst mal der scanreport von virusscan.jotti.dhs.org. werde daraus nicht wirklich schlau (was mach ich jetzt damit?). gehe jetzt mal die anderen punkte an.

1000 dank erstmal

pannewitz

*Christian* 04.11.2004 22:40
Lade die Datei dort hoch.

Wird sie als Malware erkannt?

pannewitz 04.11.2004 22:40
den report vergessen :-(((((

sorry , pannewitz

File: MSMSGSVC.exe Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX
AntiVir
TR/Dldr.Small.LX (1.22 seconds taken)
Avast
No viruses found (9.30 seconds taken)
BitDefender
Trojan.Dropper.Small.LX (7.65 seconds taken)
ClamAV
No viruses found (2.93 seconds taken)
Dr.Web
Trojan.MulDrop.1132 (4.28 seconds taken)
F-Prot Antivirus
No viruses found (0.54 seconds taken)
Kaspersky Anti-Virus
TrojanDropper.Win32.Small.lx (4.53 seconds taken)
mks_vir
Trojan.Trojandropper.Small.Lx (3.33 seconds taken)
NOD32
No viruses found (3.35 seconds taken)
Norman Virus Control
No viruses found (4.41 seconds taken)


File: slserv.exe Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None
AntiVir
No viruses found (1.34 seconds taken)
Avast
No viruses found (4.55 seconds taken)
BitDefender
No viruses found (2.64 seconds taken)
ClamAV
No viruses found (2.98 seconds taken)
Dr.Web
No viruses found (4.38 seconds taken)
F-Prot Antivirus
No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus
No viruses found (4.28 seconds taken)
mks_vir
No viruses found (1.49 seconds taken)
NOD32
No viruses found (2.27 seconds taken)
Norman Virus Control
No viruses found (3.14 seconds taken)

*Christian* 04.11.2004 22:42
Sende die Datei MSMSGSVC.exe an partytime-germany.ice@web.de

Führe die Punkte durch, die Shadowdance genannt hat.

Lösche zusätzlich die Datei C:\WINDOWS\System\MSMSGSVC.exe

und fixe mit HijackThis zusätzlich dies:

O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe

pannewitz 04.11.2004 23:37
hi shadowdance (at all)

alle angegebenen punkte mit hijack this gefixed. bargains. exe konnte ich nicht beenden (war nicht zu finden), C:\ WINDOWS\dpe.dll gelöscht, C:\Programme\BullsEye Network\bin\bargains.exe konnte ich nicht löschen (nicht gefunden). anbei noch das resultat von eScan und das aktuelle hijack this logfile. mal sehen, wie's weitergeht.

danke erstmal

pannewitz

eScan - results:

File C:\WINDOWS\System\MSMSGSVC.exe infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.



Logfile of HijackThis v1.98.2
Scan saved at 23:30:32, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Klebezettel NG\klebez.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
E:\Installs\HijackThis\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Klebezettel NG] "C:\Programme\Klebezettel NG\klebez.exe"
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

MountainKing 04.11.2004 23:44
Ist das tatsächlich dein aktuelles Log? Weil darin alles, was du fixen solltest, immer noch drin steht.

pannewitz 07.11.2004 22:03
trojaner restbestände entdeckt!!! habe jetzt das ganze system noch mal gecheckt, die meißten sachen sind jetzt gefixt (glaube ich). trotzdem habe ich noch midestens 1 trojaner an board, wie bekomme ich den denn weg? kann mir jemand einen tip geben?
hier das ergebnis von: virusscan.jotti.dhs. org sagt :Service load:
0% 100%
File: MSMSGSVC.exe Status:
INFECTED/MALWARE
Packers detected:
UPX
AntiVir
TR/Dldr.Small.LX (0.25 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
Trojan.Dropper.Small.LX (0.75 seconds taken)
ClamAV
No viruses found (0.56 seconds taken)
Dr.Web
Trojan.MulDrop.1132 (1.10 seconds taken)
F-Prot Antivirus
No viruses found (0.15 seconds taken)
Kaspersky Anti-Virus
TrojanDropper.Win32.Small.lx (1.03 seconds taken)
mks_vir
Trojan.Trojandropper.Small.Lx (0.73 seconds taken)
NOD32
No viruses found (0.88 seconds taken)
Norman Virus Control
No viruses found (0.88 seconds taken)
Statistics Last piece of malware found was Backdoor.VB.qa in 25E90E15.exe, detected by:
Scanner Malware name Time taken
AntiVir X 0.77 seconds
Avast X 1.51 seconds
BitDefender X 0.61 seconds
ClamAV X 0.55 seconds
Dr.Web X 0.85 seconds
F-Prot Antivirus X 0.10 seconds
Kaspersky Anti-Virus Backdoor.VB.qa 1.11 seconds
mks_vir X 0.35 seconds
NOD32 X 0.63 seconds
Norman Virus Control X 0.21 seconds
Service load:
0% 100%
File: slserv.exe Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None
AntiVir
No viruses found (0.27 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.60 seconds taken)
ClamAV
No viruses found (0.57 seconds taken)
Dr.Web
No viruses found (0.86 seconds taken)
F-Prot Antivirus
No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.06 seconds taken)
mks_vir
No viruses found (0.37 seconds taken)
NOD32
No viruses found (0.64 seconds taken)
Norman Virus Control
No viruses found (0.79 seconds taken)
Statistics Last piece of malware found was Trojan.Trojandropper.Small.Lx in MSMSGSVC.exe, detected by:
Scanner Malware name Time taken
AntiVir TR/Dldr.Small.LX 0.25 seconds
Avast X 1.51 seconds
BitDefender Trojan.Dropper.Small.LX 0.75 seconds
ClamAV X 0.56 seconds
Dr.Web Trojan.MulDrop.1132 1.10 seconds
F-Prot Antivirus X 0.15 seconds
Kaspersky Anti-Virus TrojanDropper.Win32.Small.lx 1.03 seconds
mks_vir Trojan.Trojandropper.Small.Lx 0.73 seconds
NOD32 X 0.88 seconds
Norman Virus Control X 0.88 seconds

der eScan sagt- trojaner gefunden (wie werd ich den los?): Thu Nov 04 23:16:30 2004 => File C:\WINDOWS\System\MSMSGSVC.exe infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.
das aktuelle hijackThis logfile sieht wie folgt aus: Logfile of HijackThis v1.98.2
Scan saved at 21:55:57, on 07.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Klebezettel NG\klebez.exe
C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
E:\Installs\HijackThis\hijackthis1982\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Klebezettel NG] "C:\Programme\Klebezettel NG\klebez.exe"
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

scheint schon mal einiges erschwunden zu sein - was mach ich mit dem trojaner?

danke euch für eine rückmeldung

pannewitz


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131