Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32: Keylog-AL (Trj.) (https://www.trojaner-board.de/27612-win32-keylog-al-trj.html)

Pernoctem 17.03.2006 13:27
Win32: Keylog-AL (Trj.)
 
Habe heute erstmals die Virusmeldung (siehe Titel) von Avast 4.6 (am aktuellsten Stand) erhalten. Demnach soll die Datei TS2UPD.exe infiziert sein. Das ist doch das Updateprogramm von Die Sims 2 .. laut Pfadangabe zumindest.

Bin jetzt ein wenig verwirrt ... hab die .exe jez erst mal in den Quarantäne-Ordner verschieben lassen...aber wie weiter handhaben??.. wenn überhaupt?!

hoerni26 17.03.2006 13:32
hallo,

poste doch mal ein aktuelles HJT logfile nach anleitung in meiner signatur..

Pernoctem 17.03.2006 13:37
Ah klar doch kein Problem :)

Logfile of HijackThis v1.99.1
Scan saved at 13:34:47, on 17.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\Alwil Software\Avast4\ashServ.exe
D:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
D:\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Opera\Opera.exe
D:\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Zone Labs Client] d:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avast!] D:\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Alwil Software\Avast4\ashServ.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das wäre alles aus der .log-file

hoerni26 17.03.2006 13:40
sieht sehr klein aus..
hast das im abgesicherten modus erstellt??

Wildone 17.03.2006 13:42
Hallo,
falls du die Datei dem Avastquarantäneordner wieder entreißen kannst, kannst du sie mal hier hochladen und das Ergebnis posten.
Bisher gehe ich von einem Fehlalarm von Avast aus.

Edit
@hoerni
Wenn das Logfile im abgesicherten Modus erstellt worden wäre, würden Zonealarm und Avast nicht laufen:
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
sieht einfach nach einem aufgeräumten Logfile aus.


Grüße Wildone

Pernoctem 17.03.2006 13:42
Mh nein , diese log-file stammt vom vorigen Scan unter'm normal laufenden Windows (normal .. achtung Sarkasmus gg)

Werd aber sogleich einen Scan im Abges.Modus machen


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131