Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   brauche info über verbreitung von trojano-3172 (https://www.trojaner-board.de/25648-brauche-info-verbreitung-trojano-3172-a.html)

huskie 10.01.2006 19:19
brauche info über verbreitung von trojano-3172
 
Hallo zusammen,

mich hat es auch erwischt, ich habe mir mindestens 2 Schädlinge eingefangen, die als "adloader-g" und "trojano-3172" identifiziert wurden.

Leider hat mein Virenscanner (Norton Antivirus) zu spät angeschlagen, so dass sich die Schädlinge verbreiten und den Virenscanner blockieren konnten. Dieser meldete immer wieder ein sauberes System, was von Avast 4 deutlich wiederlegt wurde. Avast fand unter anderem folgende Dateien:

(x) steht für Nummerierung

paytime.exe
ibm00(x)
tool(x).exe
winstall.exe

Avast konnte diese alle (beim booten) entfernen, allerdings meldete sich Avast kurze Zeit später mit der Meldung, das zu viele Mails verschickt werden sollten. Ich befand mich also trotz Säuberung in der Hand eines Spammers. Avast fand auch nix mehr, so dass ich letztendlich den Rechner neu installiert habe. Deshalb kann ich hier auch kein log-File mitgeben.

In unserem Netzwerk treten nun aber einige komische Effekte auf, die man mit den Schädlingen in Verbindung bringen könnte.

Weiß jemand von euch, ob einer der Schädlinge eine Verbreitungsroutine mitbringt, die über die Standardprotokolle von Windows (also nicht über P2P-, Chatprotokolle o.ä.) geht?
Mir geht es darum herauszufinden, ob sich die Schädlinge vielleicht unerkannt weiterverbreitet haben.
Im Netz habe ich leider so gut wie keine brauchbaren Informationen zur Schadhaftigkeit und über Verbreitungswege der Schädlinge gefunden. Hängt möglicherweise auch mit der nicht einheitlichen Namensgebung der Schädlinge zusammen.

Vielleicht kann mir auch jemand erklären, warum mein Rechner trotz angeblich sauberem System zum Spammen missbraucht werden konnte.

Vielen Dank schonmal im Voraus,

Gruß
Marcus

hoerni26 10.01.2006 19:24
hallo,

poste doch bitte einmal ein Hjt logfile nach der anleitung in meiner signatur.

Wildone 10.01.2006 19:29
Hallo,
schau mal unter dem Namen Spysheriff, da wirst du wahrscheinlich bei deiner Recherche eher fündig. Es könnte sein das sich Spysheriff unter anderem auch durch die Sicherheitslücke verbreitet, die mit dem Dezemberpatch von Microsoft gestopft wurde, siehe hier.
Aber Spysheriff installiert sich auch durch verseuchte Cracks.


Grüße Wildone

huskie 10.01.2006 20:14
Hallo Wildone,

das sieht schonmal ganz gut aus. Bis auf die Datei Spysheriff.exe selbst hatte ich alles drauf, und so ziemlich alles, was dazu auf wintotal.de zu finden ist passt auch.

Vielen Dank dafür. Ich such mal weiter.

Bis später,

Gruß
Marcus

huskie 12.01.2006 14:57
Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:52:21, on 12.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\...\Desktop\hjt\HijackThis.exe

O1 - Hosts: a
O1 - Hosts: xxx.xxx.180.9 spree ...
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: Domain = ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: NameServer = 192.168.x.x,192.168.x.x
O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: Domain = ...
O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB9A4B0-E619-452C-8FD9-8C4B4FC2420B}: NameServer = 192.168.x.x,192.168.x.x
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WAEQO - Sysinternals - ... .sysinternals.com - C:\DOKUME~1\...\LOKALE~1\Temp\WAEQO.exe

Gruß
Marcus


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19