Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hab schon alles probiert (Troj.Haxdor-Fam) (https://www.trojaner-board.de/23501-hab-schon-alles-probiert-troj-haxdor-fam.html)

rime_one 09.11.2005 21:37
Hab schon alles probiert (Troj.Haxdor-Fam)
 
Hilfe! Hab mir nen Haxdor-Fam eingefangen und werd ihn nicht mehr los.
Sophos erkennt ihn als C:\WINNT\System32\avpe32.dll und verschiebt ihn in die Infected Datei, dort finde ich ihn dann als avpe32.000 bis avpe32.999.

In der Reg. hab ich ihn auch schon ausfindig gemacht und den Schüssel gelöscht.

Doch das bringt alles nix, ich werd ihn einfach nicht los. :koch:
Deshalb bitte ich dringend um Hilfe!!!

Danke schön im Vorraus,

rime_one

cronos 09.11.2005 21:41
Poste mal noch zusätzlich einen Hijackthis-Log .
Welche Haxdoor erkennt Sophos genau?
Aber das sieht mir schon jetzt nicht gut aus.

rime_one 09.11.2005 21:50
Also Sophos meldet: 'Troj/Haxdor-Fam' gefunden und den bereits genannten Pfad, mehr nicht.

Hab mich grad bei Sophos im Virenlexikon umgesehen, da gibt es keinen Hinweise auf einen Haxdoor, die Datei avpe32.dll anlegt. Scheint zu neu zu sein, soll ich trotzdem mit der etwas umständlichen Methode zum Entfernen von Trojanern probieren???

rime_one 10.11.2005 12:16
Das hat mir HiJackThis ausgespuckt (Danke für die Hilfe):

Logfile of HijackThis v1.99.1
Scan saved at 12:11:18, on 10.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\internat.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Dokumente und Einstellungen\Mira\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AD94DE31-59CD-41C3-9FC0-E272A13DCC1A} - C:\WINNT\system32\gcli.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\programme\Nero Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] "e:\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: winupd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127846737773
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127846708241
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing)
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\programme\Nero Ahead\InCD\InCDsrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Dokumente und Einstellungen\Mira\Desktop\Anwendungen\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

stupormundi 10.11.2005 12:53
Das mit dem Haxdoor kann schon stimmen
Zitat:
O20 - Winlogon Notify: avpe32 - avpe32.dll
derartige Einträge erstellen diese Haxdoors schon (mit wechselnden *.dll Namen) zB
Zitat:
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify DllName status.dll
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

rime_one 10.11.2005 19:32
So, man hat das gedauert, eScan hat in der mwav.log diese Liste an infected und tagged erstellt:

Mit in der Liste steht auch der von Sophos indentifizierte Trojaner 'Backdoor.Win32.Haxdoor.ey'

C:\WINNT\system32\Ckphpg32.dll infected by "Backdoor.Win32.Padodor.gen"
C:\WINNT\system32\windesktop.exe infected by "Net-Worm.Win32.Maslan.k" Virus!
C:\WINNT\SYSTEM32\AVPE64.SYS infected by "Backdoor.Win32.Haxdoor.ey" Virus!
System found infected with funweb Spyware/Adware ({00a6faf6-072e-44cf-8957-5838f569a31d})
System found infected with mywebsearchemailplugin Spyware/Adware ({07b18ea9-a523-4961-b6bb-170de4475cca})
Offending file found: C:\WINNT\DOWNLO~1\popcaploader.dll
Thu Nov 10 17:32:41 2005 => System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:42 2005 => Offending file found: C:\WINNT\system32\objsafe.tlb
Thu Nov 10 17:32:42 2005 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken.

Thu Nov 10 17:32:42 2005 => Offending file found: C:\WINNT\system32\wins32.dll
Thu Nov 10 17:32:42 2005 => System found infected with cws.loadadv.400 Browser Hijacker (wins32.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:42 2005 => Offending file found: C:\DOKUME~1\Mira\LOKALE~1\Temp\insthelp.dll
Thu Nov 10 17:32:42 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temp\insthelp.dll
Thu Nov 10 17:32:49 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temp\{1068130f-17ab-11d5-9875-00105ace7734}\ebay.url
Thu Nov 10 17:32:49 2005 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Thu Nov 10 17:32:51 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\21xmje54\formie[1].css
Thu Nov 10 17:32:51 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:32:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\8ti78xyb\ads[1].htm
Thu Nov 10 17:32:53 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:32:54 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\8ti78xyb\index[1].html
Thu Nov 10 17:32:54 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:32:56 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\acel3t4s\ads[1].htm
Thu Nov 10 17:32:56 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:32:56 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\acel3t4s\ads[2].htm
Thu Nov 10 17:32:56 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:06 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\fmov3lwp\stylesheet[1].css
Thu Nov 10 17:33:06 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:33:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\fuvpxxbn\ads[1].htm
Thu Nov 10 17:33:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\fuvpxxbn\ads[2].htm
Thu Nov 10 17:33:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\klubspmz\adsend[1].js
Thu Nov 10 17:33:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\klubspmz\ads[1].htm
Thu Nov 10 17:33:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:14 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\olmnab8v\adswrapper[1].js
Thu Nov 10 17:33:14 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:17 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\vjh9959a\ads[1].htm
Thu Nov 10 17:33:17 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:17 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\vjh9959a\ads[2].htm
Thu Nov 10 17:33:17 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:18 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\vjh9959a\ticker[1].js
Thu Nov 10 17:33:18 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:23 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\yv07xuje\ads[1].htm
Thu Nov 10 17:33:23 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:23 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\yv07xuje\ads[2].htm
Thu Nov 10 17:33:23 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:23 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\yv07xuje\index[1].html
Thu Nov 10 17:33:23 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\21xmje54\formie[1].css
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\8ti78xyb\ads[1].htm
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\8ti78xyb\index[1].html
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\acel3t4s\ads[1].htm
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\acel3t4s\ads[2].htm
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\fmov3lwp\stylesheet[1].css
Thu Nov 10 17:33:26 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:33:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\fuvpxxbn\ads[1].htm
Thu Nov 10 17:33:26 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\fuvpxxbn\ads[2].htm
Thu Nov 10 17:33:26 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:27 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\klubspmz\adsend[1].js
Thu Nov 10 17:33:27 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:27 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\klubspmz\ads[1].htm
Thu Nov 10 17:33:27 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:27 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\olmnab8v\adswrapper[1].js
Thu Nov 10 17:33:27 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjh9959a\ads[1].htm
Thu Nov 10 17:33:28 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjh9959a\ads[2].htm
Thu Nov 10 17:33:28 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjh9959a\ticker[1].js
Thu Nov 10 17:33:28 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\yv07xuje\ads[1].htm
Thu Nov 10 17:33:29 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\yv07xuje\ads[2].htm
Thu Nov 10 17:33:29 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\yv07xuje\index[1].html
Thu Nov 10 17:33:29 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\autostart\winupd.exe
Thu Nov 10 17:33:29 2005 => System found infected with searchnew Spyware/Adware (winupd.exe)! Action taken: No Action Taken.

Thu Nov 10 17:33:31 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\autostart\winupd.exe
Thu Nov 10 17:33:31 2005 => System found infected with searchnew Spyware/Adware (winupd.exe)! Action taken: No Action Taken.

Thu Nov 10 17:33:31 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\winupd.exe
Thu Nov 10 17:33:31 2005 => System found infected with searchnew Spyware/Adware (winupd.exe)! Action taken: No Action Taken.

Thu Nov 10 17:33:31 2005 => Offending file found: C:\WINNT\iun6002.exe
Thu Nov 10 17:33:31 2005 => System found infected with zipitpro Spyware/Adware (C:\WINNT\iun6002.exe)! Action taken: No Action Taken.

C:\WINNT\system32\Ckphpg32.dll infected by "Backdoor.Win32.Padodor.gen"
C:\WINNT\system32\windesktop.exe infected by "Net-Worm.Win32.Maslan.k"
C:\WINNT\SYSTEM32\AVPE64.SYS infected by "Backdoor.Win32.Haxdoor.ey"

System found infected with funweb Spyware/Adware ({00a6faf6-072e-44cf-8957-5838f569a31d})! Action taken: No Action Taken.
Thu Nov 10 17:39:46 2005 => System found infected with mywebsearchemailplugin Spyware/Adware ({07b18ea9-a523-4961-b6bb-170de4475cca})! Action taken: No Action Taken.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\winupd.exe infected by "Backdoor.Win32.Haxdoor.ey" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81Q7C96J\xexe[1].dat infected by "Net-Worm.Win32.Maslan.k" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\72068158.exe infected by "Trojan.Win32.Crypt.l" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\eclb.exe infected by "Backdoor.Win32.Padodor.ax" Virus! Action Taken: N

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\ndandsze.exe infected by "Trojan-Spy.Win32.Goldun.du" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\nimd.exe infected by "Trojan.Win32.Crypt.l" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TI78XYB\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDYFSP6J\31218[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

C:\Programme\Sophos SWEEP for NT\INFECTED\avpe32.000 infected by "Backdoor.Win32.Haxdoor.ey" Virus! Action Taken: No Action Taken.

C:\WINNT\system32\Jjfdjg32.exe infected by "Backdoor.Win32.Padodor.ax" Virus! Action Taken: No Action Taken.

C:\WINNT\system32\waxw2k.dll infected by "Trojan-Spy.Win32.Goldun.dg"
C:\WINNT\system32\windesktop.dll infected by "Net-Worm.Win32.Maslan.k"
C:\WINNT\system32\wins32.dll infected by "Trojan-Downloader.Win32.Small.bvl"
C:\WINNT\system32\winsel.exe infected by "Net-Worm.Win32.Maslan.k"

C:\Dokumente und Einstellungen\Mira\Desktop\backups\backup-20051020-190550-187.dll tagged as "not-a-virus:AdWare.Win32.MyWebSearch.p".
Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Desktop\backups\backup-20051020-190550-407.dll tagged as "not-a-virus:AdWare.Win32.MyWebSearch.l"

C:\Programme\Aquatica Waterworlds\AQ3Helper.exe tagged as "not-a-virus:AdWare.Win32.Gator.1008". Action Taken: No Action Taken.

C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll tagged as "not-a-virus:AdWare.Win32.Gator.1101". Action Taken: No Action Taken.

C:\WINNT\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll tagged as "not-a-virus:AdWare.Win32.Gator.1101". Action Taken: No Action Taken.

C:\WINNT\Downloaded Program Files\popcaploader.dll tagged as not-a-virus:Downloader.Win32.PopCap.b. No Action Taken.

C:\WINNT\system32\f3PSSavr.scr tagged as "not-a-virus:AdWare.Win32.MyWebSearch". Action Taken: No Action Taken.

cronos 10.11.2005 20:10
Gut, nein schlecht.
Da wir nun Gewissheit haben, das du mehrere Backdoorrs auf dem System hast und daher dein System als kompromittiert bezeichnet werden kann, kann die Empfehlung nur lauten:

Setze zu deiner eigenen Sicherheit dein System neu auf und sichere es vor der ersten Internetverbindung vernünftig ab:

Hier eine Anleitung:


http://www.trojaner-board.de/showthread.php?t=12154

rime_one 10.11.2005 20:40
Das hab ich mir schon gedacht nachdem ich den Log gesehen haben.
Danke für die Hilfe,
ich werde euch auf jeden Fall weiterempfehlen. :daumenhoc

Dann sag ich mal bis denne

Und nochmal Danke schön!

P.S.:Ich hoffe, daß bis denne nicht all zu bald eintrifft, im Sinne der Sicherheit meines Rechners! :)

CaptainX 08.01.2006 23:01
Hallo,

ich habe mir auch diesen Trojaner eingefangen und stehe im Moment etwas ratlos da.

Ich habe Sophos durchlaufen lassen und dabei eine docent0.dll im System32 Ordner gefunden die sich nicht löschen läßt. Die übrigen Trojaner Dateien konnte ich problemlos entfernen.

Da ich es zum ersten mal mit einem Schädlingsbefall zu tun habe, weiss ich auch nicht wie vorsichtig ich beim Transfer meiner Daten sein muss. Desshalb an der Stelle ein paar Fragen:

Kann ich einzelne Dateien wie die hijackthis-log einfach per USB Stick übertragen ohne den anderen Rechner zu infizieren?

Ich habe zwei Festplatten. Kann ich alle wichtigen Dateien von der Betriebssystemfestplatte rüberspielen und das Betriebssystem formatieren ohne das mir Daten verloren gehen?

Viele Grüße

Der Captain


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131