Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner (https://www.trojaner-board.de/20856-trojaner.html)

ServLess 16.08.2005 15:55
Trojaner
 
Hallo zusammen,

habe des öfteren, bzw immer wieder den Trojaner Trojan-Downloader.BAT.Ftp.c auf meinem Rechner. Kann mir einer erklären wieso der immer wieder kommt ? AV - Programm (Sophos) läuft die ganze Zeit und jeden Tag wird eine vollständige untersuchung gemacht und der Trojaner versteckt sich anscheinend täglich unter einem anderen Dateinamen...

Grüße

ServLess

Sagamore 16.08.2005 16:16
Zitat:
Zitat von ServLess
kann mir einer erklären wieso der immer wieder kommt ?
Vielleicht über einen unsicheren Browser, ein ungepatchtes Betriebssystem?

Gigamail 16.08.2005 16:20
Hallo ServLess

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner !unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.

Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

ServLess 16.08.2005 16:22
Zitat:
Zitat von Sagamore
Vielleicht über einen unsicheren Browser, ein ungepatchtes Betriebssystem?
Ich "browse" mit Firefox und XP wurde grad erst mit 30 updates auf den neusten Stand gebracht

Grüße

ServLess

ServLess 16.08.2005 16:31
Zitat:
Zitat von Gigamail
Hallo ServLess

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner !unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.

Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Sorry für den Doppelpost.

HijackThis läuft doch nur mit dem IE soweit mir das bekannt ist, oder ?!

Grüße

ServLess

Wildone 16.08.2005 16:38
Hallo,
Hijackthis ist ein Programm das die laufenden Prozesse, Autostarteinträge, Dienstestarts usw. protokolliert, dies natürlich unabhängig von dem Browser, also lese dir die Links durch und erstelle ein Logfile.


Grüße Wildone

Gigamail 16.08.2005 16:58
@ ServLess

das zeugt davon, damit du nicht die Anleitung gelesen hast. Also Cidres Anleitung lesen und ein HJT posten :daumenhoc

ServLess 16.08.2005 17:08
Zitat:
Zitat von HijackThisLogFile
Logfile of HijackThis v1.99.1
Scan saved at 17:33:15, on 16.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\Explorer.EXE
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS2\System32\WISPTIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows2\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121436023515
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1124100011453
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS2\System32\HPZipm12.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
So nu isse da :daumenhoc

..::EDIT::.. Alles ok, laut log file

Grüße ServLess

Gigamail 16.08.2005 17:41
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106
ganz so in Ordnung ist dein Logfile nicht. Du solltest unbedingt Dein System updaten Windowsupdate oder CD-Bestellung SP2

Wo wird denn dann der Virus immer gefunden wenn du sagst er kommt von Zeit zu Zeit. Da du den Kaspersky auf deinem Rechner hast solltest du ihn updaten und im abgesicherten Modus mal scannen lassen. Wenn du im abgesicherten Modus bist fixe gleich noch diese Einträge:

R3 - Default URLSearchHook is missing
O2-BHO:AccoonaSearchAssistant-{944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing)

ServLess 16.08.2005 17:47
Hehe, nene, ich will das Sp2 nicht ;) Das hat mehr sicherheitslöcher als Windows XP *g* Nee mal im ernst, Sp2 installiere ich nicht, sorry, ist aber so, meine meinung ;) Zudem sind alle Updates von Windows auf dem neusten Stand, außer vielleicht das Sp2. Update gemacht: Gestern. Also richtig richtig neu. Kaspersky aktualisiert stündlich die Antivirendatenbank. Also auch aktuell, das mit dem abgesicherten Modus wäre nochmal etwas, ja und das fixen muss ich auch noch. Allerdings muss ich damit noch warten bis zum Wochenende, vorher kann ich nix machen, weil ein Kunde von mir noch eine große Datenmenge bekommt. Und die muss erstmal upgeloaded werden.

Danke für eure schnelle Hilfe

Grüße

ServLess

Cidre 16.08.2005 18:02
@ ServLess

Wie lautete der genaue Pfad des Trojan-Downloader.BAT.Ftp.c? Eventuell ist er im Ordner 'System Volume Information' zu fnden, das würde es zumindest erklären...

Scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

ServLess 16.08.2005 19:39
Der Pfad ist: C:\Windows\System32\o.exe

Grüße

ServLess

Wildone 16.08.2005 19:48
Hallo,
lass mal die Datei hier checken und poste dann mal die Ergebnisse. War das das einzige Ergebnis von dem Scan mit Kaspersky im abgesicherten Modus?
Zu dem SP2 kann ich zwar deine Aversion nicht ganz verstehen, mittlerweile liest man eigentlich nichts mehr von Kompatibilitätsproblemen o.ä. aber des Menschen Wille ist sein Königreich...


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131