Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Zufall oder gehackt ?? (https://www.trojaner-board.de/40706-zufall-gehackt.html)

ordell1234 12.07.2007 21:38
Zitat:
Zitat von Franz1968 (Beitrag 279591)
hast du mal SmitfraudFix oder SmitRem ausgeführt? Die process.exe könnte damit zu tun haben.
:daumenhoc

In der smidfraudfix.cmd finden sich folgende Einträge:
Zitat:
if not exist %syspath%\Process.exe copy Process.exe %syspath%\Process.exe >NUL
if not exist %syspath%\swreg.exe copy swreg.exe %syspath%\swreg.exe >NUL
if not exist %syspath%\swsc.exe copy swsc.exe %syspath%\swsc.exe >NUL
if not exist %syspath%\SrchSTS.exe copy SrchSTS.exe %syspath%\SrchSTS.exe >NUL
if not exist %syspath%\dumphive.exe copy dumphive.exe %syspath%\dumphive.exe >NUL
if not exist %syspath%\swxcacls.exe copy swxcacls.exe %syspath%\swxcacls.exe >NUL
Die Process.exe ist identisch.
SHA1: 89036847 3ECBC404 DCD42FF0 C6C38397 102F59C0
MD5: 7397F6EE 4A9601A1 23B645C0 CD428017

@Markus_33: Die Datei, die du nach Ausführung von escan und find.bat bitte postest, nennt sich escan_neu.txt und befindet sich im Ordner bases_x. Gruß

ordell1234 12.07.2007 21:43
sry, Doppelposting :rolleyes:

Markus_33 13.07.2007 20:09
Hallo Franz, hallo Ordell1234

Ordell: danke für Deinen Beitrag !, d.h., wenn ich Dich richtig verstehe, sind process.exe usw. von smidfraudfix manipuliert und harmlos ?
escan_neu.txt war nach Auswertung von find.bat leider 0 byte gross, ich lasse find.bat aber gleich nochmal laufen

Franz: eins muss man Dir lassen, Du gibts einfach nicht auf :-)
So der Log-Auszug von Combofix
(unter HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services stehen übrigens 'Aei2iadafs' und 'Nuipsh', das waren die zwei unbekannten Dienste, bei denen ich Dich schon mal um Rat bat :-)

2007-07-13 20:04 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-10 20:58 524,288 --ah----- C:\DOKUME~1\***\NTUSER.DAT
2007-07-10 20:58 <DIR> dr-h----- C:\DOKUME~1\***\Anwendungsdaten
2007-07-10 20:58 <DIR> dr------- C:\DOKUME~1\***\Startmen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Vorlagen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Netzwerkumgebung
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Lokale Einstellungen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Druckumgebung
2007-07-10 20:58 <DIR> d-------- C:\DOKUME~1\***\Favoriten
2007-07-10 20:52 <DIR> d-------- C:\bases
2007-07-10 19:26 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-10 19:26 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-07-10 19:26 22,168 --a------ C:\WINDOWS\SYSTEM32\imsinstall_loc0407.dll
2007-07-10 19:26 18,072 --a------ C:\WINDOWS\SYSTEM32\imslsp_install_loc0407.dll
2007-07-10 19:26 11,264 --a------ C:\WINDOWS\SYSTEM32\SpOrder.dll
2007-07-10 19:26 1,087,216 --a------ C:\WINDOWS\SYSTEM32\zpeng24.dll
2007-07-09 11:32 <DIR> d-------- C:\bases_x


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-13 17:22:01 1,049 ----a-w C:\WINDOWS\nsreg.dat
2007-07-10 17:27:54 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-07-08 13:43:02 -------- d-----w C:\Programme\Spyware Doctor
2007-07-07 21:14:06 83,536 ----a-w C:\WINDOWS\system32\drivers\iksyssec.sys
2007-07-07 21:14:03 59,984 ----a-w C:\WINDOWS\system32\drivers\iksysflt.sys
2007-07-07 21:13:39 26,064 ----a-w C:\WINDOWS\system32\drivers\kcom.sys
2007-07-07 21:13:32 52,304 ----a-w C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-07-07 21:13:30 39,248 ----a-w C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-06-17 15:55:20 -------- d-----w C:\Programme\Google
2007-06-10 10:14:50 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-08 18:31:14 -------- d-----w C:\Programme\Basilisk II JIT
2007-06-05 18:54:07 -------- d-----w C:\DOKUME~1\***\ANWEND~1\Smith Micro
2007-06-05 09:12:48 -------- d-----w C:\Programme\7-Zip
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-21 14:39:07 28,832 ----a-w C:\DOKUME~1\***\ANWEND~1\GDIPFONTCACHEV1.DAT


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 22:10]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
"C:\Programme\Softwin\BitDefender8\bdmcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
"C:\Programme\Softwin\BitDefender8\bdnagent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagent]
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Symoteiosh"=3 (0x3)
"Macromedia Licensing Service"=3 (0x3)
"IDriverT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"Aei2iadafs"=3 (0x3)
"Nuipsh"=3 (0x3)
"sdAuxService"=3 (0x3)
"sdCoreService"=3 (0x3)
"rpcapd"=3 (0x3)


Contents of the 'Scheduled Tasks' folder
2007-07-06 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-13 20:13:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:55 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131