Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   einige trojaner... (https://www.trojaner-board.de/14167-einige-trojaner.html)

KoRni 20.02.2005 13:38
einige trojaner...
 
Hallo!

Ich hab auf unserem Computer (familien-pc) einige viren und trojaner entdeckt...AVG hat manches schon wieder hinbekommen, aber was mach ich gegen die trojaner? Die meisten sind C:\WINDOWS\RESTORE\TEMP\A0000152.CPY und das geht bis 172.CPY und dann so einige andere sachen im system die ich nicht wegkriege.

Hier mein Logfile:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 13:37:27, on 20.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TEMP\ICSUPP95.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINRATCHET.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\ZUBEHöR\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\GRISOFT\AVG7\AVGVV.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: SDWin32 Class - {281BCE39-1A4E-426F-AE53-6F15EE511500} - C:\WINDOWS\SYSTEM\HVSWT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: oislbz00 - {43B7EC4D-81EF-A2B8-0DD1-9A154FC9EF57} - C:\WINDOWS\SYSTEM\OISLBZ00.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [hvswtc] C:\WINDOWS\SYSTEM\hvswtc.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\SYSTEM\KDP244C.DLL"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Windows AdTools] C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAMME\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE
O4 - HKCU\..\Run: [Oocr] C:\WINDOWS\Anwendungsdaten\oodo.exe
O4 - HKCU\..\Run: [Pciwjc] C:\WINDOWS\SYSTEM\akgb.exe
O4 - HKCU\..\Run: [JIT] C:\WINDOWS\SYSTEM\JIT.EXE
O4 - HKCU\..\Run: [WININET] C:\WINDOWS\SYSTEM\WININET.EXE
O4 - HKCU\..\Run: [MP4SDMOD] C:\WINDOWS\SYSTEM\MP4SDMOD.EXE
O4 - HKCU\..\Run: [CSSEQCHK] C:\WINDOWS\SYSTEM\CSSEQCHK.EXE
O4 - HKCU\..\Run: [IR50_QCX] C:\WINDOWS\SYSTEM\IR50_QCX.EXE
O4 - HKCU\..\Run: [WEBVW] C:\WINDOWS\SYSTEM\WEBVW.EXE
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\SYSTEM\KDP244C.DLL"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
meint ihr ich muss neu aufsetzten?

Gigamail 20.02.2005 14:01
Hi,

lade Dir eScan und checke Dein System im abgesicherten Modus wie unten beschrieben.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

http://www.cosgan.org/images/midi/haushalt/d010.gif

KoRni 20.02.2005 19:28
Hey!
Danke erstmal..
also das kam raus:

Total Files Scanned: 16629
Total Virus(es) Found: 56
Total Disinfected Files: 0
Total Files Renamed: 0
Total Deleted Files: 9
Total Errors: 19
Time Elapsed: 01:26:29
Virus Database Date: 2005/02/19
Virus Database Count: 115148

und hier aus mwav.log:
Code:
=> *** Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{43B7EC4D-81EF-A2B8-0DD1-9A154FC9EF57} deleted because ImagePath file infected by a Virus
=> File C:\WINDOWS\SYSTEM\OISLBZ00.DLL infected by "Backdoor.Win32.Afcore.gen" Virus. Action Taken: File to be renamed on reboot.
=> File C:\WINDOWS\SYSTEM\istinstall_adlogix.exe infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\SYSTEM\mstmp.html infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: File Deleted.
=> File C:\_RESTORE\TEMP\A0000152.CPY infected by "Trojan.Win32.StartPage.sy" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000154.CPY infected by "Trojan-Downloader.Win32.PurityScan.i" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000156.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000158.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000160.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000162.CPY infected by "Trojan-Proxy.Win32.Webber.k" Virus. Action Taken: File to be deleted on reboot.
File C:\_RESTORE\TEMP\A0000164.CPY infected by "Trojan-Proxy.Win32.Webber.k" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000166.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000168.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000170.CPY infected by "Trojan-Downloader.Win32.Agent.am" Virus. Action Taken: File to be deleted on reboot.
=> File C:\_RESTORE\TEMP\A0000172.CPY infected by "Trojan-Downloader.Win32.Mediket.g" Virus. Action Taken: File to be deleted on reboot.
=> File C:\WINDOWS\SYSTEM32\nxscript.exe infected by "Trojan-Clicker.Win32.VB.dn" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\SYSTEM32\winaspi32.exe infected by "Trojan.Win32.VB.qv" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\perfectnavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\ts_8_new.exe infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\tsinstall_4_0_3_7.exe infected by "Trojan-Downloader.Win32.TSUpdate.i" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\TEMP\GLF12B2GLF12B2.EXE infected by "Trojan-Downloader.Win32.TSUpdate.f" Virus. Action Taken: File Deleted.
=> File C:\WINDOWS\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-7f7ca196.zip infected by "Trojan-Downloader.Java.OpenStream.t" Virus. Action Taken: File Deleted.
=> Scanning Folder: C:\Programme\Sophos SWEEP\Infected\*.*
Ich hoff das ist ok so.. :dummguck:

Gigamail 20.02.2005 20:14
Du solltest Dein system neu aufsetzen
Grund:
Zitat:
"Backdoor.Win32.Afcore.gen"
die anderen hätte gereicht von Hand zu löschen, aber ein Backdoor verändert Systemdateien, Spioniert Daten aus gibt sie an dritte weiter, sendet Codes. Um wirklich wieder ein vertraueswürdiges system zu haben bleibt Dir nur Format C
Ändere danach auch alle Deine Passwörter.
Lese auch mal über Kompromittierung
Die Hife von Cidre für's Neuaufsetzen
solltest Du umsetzen.

http://www.cosgan.net/images/smilie/froehlich/c030.gif


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131