Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte helft mir bei Log-Auswertung (https://www.trojaner-board.de/9261-bitte-helft-mir-log-auswertung.html)

Unica 06.11.2004 17:05
Bitte helft mir bei Log-Auswertung
 
Hallo!!

Wie viele von euch, werde auch ich von dem Backdoorprogramm BDS/Agent.AY belästigt! Wie in diesem Forum gepostet wurde, habe ich ein HiJackThis Log erstellt und einen e-scan gemacht!

Daher diese Daten:

Logfile of HijackThis v1.98.2
Scan saved at 17:00:35, on 06.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\DOKUME~1\HEIDI_~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\HEIDI_~1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\System32\notepad.exe
C:\Dokumente und Einstellungen\Heidi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibz.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {04365000-DFC6-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Quercia) - https://ib.rolbank.com/ib2000/TlqJ2kQrc.cab
O16 - DPF: {13083D70-37BD-11D4-B315-00508B6D3B87} (/Quercia TLQJ 2000-QF24) - https://ib.rolbank.com/ib2000/TlqJ2kQF.cab
O16 - DPF: {2A5C1DD0-DFC5-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Other) - https://ib.rolbank.com/ib2000/TlqJ2kOth.cab
O16 - DPF: {5140EE10-DFC4-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Image) - https://ib.rolbank.com/ib2000/de/TlqJ2kImg.cab
O16 - DPF: {B1738950-DFC5-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-QCbi) - https://ib.rolbank.com/ib2000/TlqJ2kQCb.cab
O16 - DPF: {CB572CC0-E5F9-11D3-B2C1-00105AE309D0} (/Quercia TLQJ 2000-QData) - https://ib.rolbank.com/ib2000/TlqJ2kQDt.cab
O16 - DPF: {D7417188-1FBD-40B1-A6C0-0DDC8B98E666} (/Quercia TLQJ 2001-Raiffeisen) - https://ib.rolbank.com/ib2000/TlqJ2kR.cab

Sowie:
Sat Nov 06 16:43:23 2004 => Total Files Scanned: 54213
Sat Nov 06 16:43:23 2004 => Total Virus(es) Found: 32
Sat Nov 06 16:43:23 2004 => Total Disinfected Files: 0
Sat Nov 06 16:43:23 2004 => Total Files Renamed: 0
Sat Nov 06 16:43:23 2004 => Total Deleted Files: 0
Sat Nov 06 16:43:23 2004 => Total Errors: 4
Sat Nov 06 16:43:23 2004 => Time Elapsed: 00:56:09
Sat Nov 06 16:43:23 2004 => Virus Database Date: 2004/11/03
Sat Nov 06 16:43:23 2004 => Virus Database Count: 108135


Kann mir jemand dabei helfen, dieses Log auszuwerten?? Ich bin total unerfahren mit HiJackThis und Log-Programmen!

Vielen Dank im Voraus für die Mühe!

LG :daumenhoc

Cidre 06.11.2004 17:39
Hallo,

ich denke, dass dieser BDS/Agent.AY nicht dein einzigstes Problem auf deinem System ist/war, siehe auch eScan Log, daher lautet meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Shadowdance 06.11.2004 17:54
@ Unica

Zitat:
Zitat von Unica
Sat Nov 06 16:43:23 2004 => Total Virus(es) Found: 32
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Platform: Windows XP SP1 (WinNT 5.01.2600): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

---> @ Cidre, ich hab Dich erst nach dem posten entdeckt und schließe mich Deiner Meinung an.

SD

Unica 06.11.2004 18:28
Hallo!

Vielen Dank für die schnelle Antwort!

Hier meine "Viren":
"TrojanDownloader.Win32.Dyfuca.aw" Virus
"TrojanProxy.Win32.Bobax.c" Virus.
"Backdoor.Rbot.15" Virus.
A0003481.EXE.VIR tagged as not-a-virus:AdWare.Gator.
CRUQSBBU.EXE.001 tagged as not-a-virus:AdWare.Gator.
CRUQSBBU.EXE.VIR tagged as not-a-virus:AdWare.Gator
PEUBSADQN.EXE.001 tagged as not-a-virus:AdWare.Gator
PEUBSADQN.EXE.VIR tagged as not-a-virus:AdWare.Gator.

Ich werde jetzt die empfohlenen Dateien fixen und poste dann das neue Log!

Vielen Dank noch Mal!!

LG heidi

Unica 06.11.2004 18:56
Hallo!

Hier mein neues Log!

Logfile of HijackThis v1.98.2
Scan saved at 18:51:55, on 06.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Heidi_Lanz\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O16 - DPF: {04365000-DFC6-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Quercia) - https://ib.rolbank.com/ib2000/TlqJ2kQrc.cab
O16 - DPF: {13083D70-37BD-11D4-B315-00508B6D3B87} (/Quercia TLQJ 2000-QF24) - https://ib.rolbank.com/ib2000/TlqJ2kQF.cab
O16 - DPF: {2A5C1DD0-DFC5-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Other) - https://ib.rolbank.com/ib2000/TlqJ2kOth.cab
O16 - DPF: {5140EE10-DFC4-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-Image) - https://ib.rolbank.com/ib2000/de/TlqJ2kImg.cab
O16 - DPF: {B1738950-DFC5-11D3-B2BB-00105AE309D0} (/Quercia TLQJ 2000-QCbi) - https://ib.rolbank.com/ib2000/TlqJ2kQCb.cab
O16 - DPF: {CB572CC0-E5F9-11D3-B2C1-00105AE309D0} (/Quercia TLQJ 2000-QData) - https://ib.rolbank.com/ib2000/TlqJ2kQDt.cab
O16 - DPF: {D7417188-1FBD-40B1-A6C0-0DDC8B98E666} (/Quercia TLQJ 2001-Raiffeisen) - https://ib.rolbank.com/ib2000/TlqJ2kR.cab


Ich hoffe, ich habe alles richitg gemacht! Die "o16-DPF:" Dateien verwende ich schon ziemlich oft - mir wäre es lieber, wenn ich sie nicht löschen muss.

Außerdem konnte ich den Prozess "scrgrd.exe" nicht finden - also auch nicht löschen!

Vielen Dank für eure Antwort!

LG Heidi
:huepp:

Shadowdance 06.11.2004 19:38
@ Unica

Zitat:
Zitat von Unica
"TrojanProxy.Win32.Bobax.c" Virus.
"Backdoor.Rbot.15" Virus.

Ich werde jetzt die empfohlenen Dateien fixen und poste dann das neue Log!
SOPHOS-Virusinformation:
W32.Bobax.C--> "Erläuterung" beachten und W32/Rbot-OT--> "Erläuterung" und "Erweitert" beachten: " Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer."

Solltest Du vertrauliche Information auf Deinem Computer haben, musst Du davon ausgehen, dass ein Dritter mitlesen kann. Deine Passworte können eingesehen werden. Solltest Du Online-Banking betreiben, kannst Du Dir mögliche Folgen ausmalen.

Weitere Logfiles erübrigen sich. Auch das Löschen dieser Würmer reicht nicht aus, da sie sich tief in das System eingraben und u.a. Schlüssel in der Registry hinterlassen.

Meine Empfehlung lautet daher, analog Cidre:

- Lutz: Datensicherung
- Cidre: ein umfassender Rat
- Raman & MountainKing 10 Schritte
- Festplatte Formatieren - Schritt für Schritt

SD

charlie1 06.11.2004 20:01
Hallo Heidi, mach mal das was SD geschrieben hat.
LG, Charlie
Nachtrag:
Denn sie hat recht, oder du kennst dich mit den "Dingern" aus, denn dann geht es auch anders.

Unica 06.11.2004 20:39
Hallo!

Vielen Dank!
Da wird mir wohl nix anderes mehr übrig bleiben! Leider kenne ich mich nicht so gut mit den Trojanern aus und ich werde wohl die Festplatte formatieren!

Vielen, vielen Dank für eure Hilfe!

Lg Heidi


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131