Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Handelt es sich hierbei um ein schädliches Programm ? (https://www.trojaner-board.de/76451-handelt-hierbei-um-schaedliches-programm.html)

buTch1986 15.08.2009 21:31

Handelt es sich hierbei um ein schädliches Programm ?
 
Hallo !

Ein Kollege von mir hat eben nachdem er aus einem Spiel rausgegangen ist dieses Programm auf seinem Desktop vorgefunden.

http://img80.imageshack.us/img80/5995/dfdfdf.jpg

Mit google finden wir nichts weiter über dieses Programm raus, vlt. kann mir jemand von euch weiterhelfen und uns sagen, worum es sich hierbei handelt.

thx :)

kira 16.08.2009 09:07

Hallo und Herzlich Willkommen! :)

kommt mir nicht so bekannt vor, aber in die Vergangenheit glaube doch, irgendeine polnische Meldung oder so ähnliches gesehen habe..
Wenn Du interessiert bist, dann würde ich ein Systemcheck vorschlagen

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Achtung: ausführen wenn Du nicht als Antivirprogramm Kaspersky drauf hast!
- Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]


gruß
Coverflow

buTch1986 16.08.2009 12:29

Hallo !

Hier mal die Log datei von Hijackthis von seinem PC:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24:20, on 16.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\ideNt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmonitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: tmonitor.exe
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 3912 bytes

Punkt 2: Die txt datei:

Code:

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        06.08.2009       
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        06.08.2009       
Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver        Atheros Communications Inc.        06.08.2009        1,02MB
Avira AntiVir Personal - Free Antivirus        Avira GmbH        06.08.2009        73,6MB
CCleaner (remove only)        Piriform        15.08.2009        2,63MB
Counter-Strike        Valve        06.08.2009       
DivX Codec        DivX, Inc.        12.08.2009        1,31MB
DivX Converter        DivX, Inc.        12.08.2009        45,3MB
DivX Player        DivX, Inc.        12.08.2009        8,43MB
DivX Plus DirectShow Filters        DivX, Inc.        12.08.2009        1,58MB
DivX Web Player        DivX,Inc.        12.08.2009        2,83MB
EAX4 Unified Redist        Creative Labs        07.08.2009        0,16MB
Fraps                09.08.2009        68,9MB
Free YouTube to Mp3 Converter version 3.1        DVDVideoSoft Limited.        06.08.2009        2,21MB
HijackThis 2.0.2        TrendMicro        14.08.2009        0,38MB
HLSW v1.3.2.1        Timo Stripf        12.08.2009        35,2MB
Java(TM) 6 Update 15        Sun Microsystems, Inc.        07.08.2009        95,0MB
Left 4 Dead        Valve        06.08.2009        4.940,5MB
Messenger Plus! Live        Patchou        06.08.2009        12,8MB
Microsoft .NET Framework 3.5 SP1        Microsoft Corporation        06.08.2009        27,8MB
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148        Microsoft Corporation        06.08.2009        0,19MB
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        06.08.2009        0,58MB
Mozilla Firefox (3.5.2)        Mozilla        06.08.2009        25,5MB
NVIDIA Drivers        NVIDIA Corporation        06.08.2009        2.643,2MB
NVIDIA PhysX        NVIDIA Corporation        06.08.2009        120,0MB
NVIDIA Stereoscopic 3D Driver        NVIDIA Corporation        06.08.2009        11,9MB
Octoshape Streaming Services                06.08.2009        1,40MB
Steam        Valve Corporation        06.08.2009        1,49MB
System Requirements Lab                06.08.2009        0,73MB
Tom Clancy's Splinter Cell Double Agent        Ubisoft        07.08.2009        10.911,3MB
TuneUp Utilities 2009        TuneUp Software        07.08.2009        47,0MB
Uninstall 1.0.0.1                06.08.2009        15,2MB
VentriloMIX                06.08.2009        11,6MB
Windows Live installer        Microsoft Corporation        06.08.2009        2,35MB
Windows Live Mail        Microsoft Corporation        06.08.2009        22,6MB
Windows Live Messenger        Microsoft Corporation        06.08.2009        30,6MB
Windows Live-Uploadtool        Microsoft Corporation        06.08.2009        0,22MB
Windows Media Player Firefox Plugin        Microsoft Corp        06.08.2009        0,29MB
WinRAR                06.08.2009        3,73MB


kira 16.08.2009 18:57

hi

1.
Code:

Messenger Plus! Live
Zitat:

Der Messenger Plus enthält einige Komponenten, die deinen Rechner ausspionieren (Trojaner) deshalb wird von diesem Programm abgeraten.Du musst messenger plus Deinstallieren, achte aber darauf, ob da etwas beim Deinstallieren mit da steht, wie "Partnerprogramme entfernen"!
Wenn du unbedingt möchtest (es ist besser ein Spy- und Adware freies Messenger Tool einzusetzen - wie Trillian,kann man in der Basisversion von Trillian die Instant Messenger ICQ, AIM, Yahoo! Messenger, Windows Live Messenger (MSN) und IRC vereinen) oder Miranda ),kannst du nochmal installieren,aber alles genau durchlesen, und Partnerprogrammen,Sponsoren etc musst du abwählen!

Immer die benutzerdefinierte Installation wählen, nicht die Standardinstallation, weil dann oft Sachen mitinstalliert werden, die man nicht braucht oder nicht möchte.
also deinstallieren

2.
ansonsten das Log ist unauffällig, bis auf (in den Autostart):
Code:

O4 - Startup: tmonitor.exe
"Start -> Alle Programme -> Zubehör -> Ausführen" und dort "msconfig" reinschreiben (ohne "")

Suche bitte die Datei "tmonitor.exe " auf deinen Rechner und berichte - Dateieigenschaften wie Autor oder/und Erstellungsdatum usw

- System-Dateien und -Ordner unter XP und Vista sichtbar machen

- Tipps für die Suche nach Dateien-->tmonitor.exe

3.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

buTch1986 17.08.2009 20:44

Hallo !

Wir habns jetzt geschafft, dass das Programm offen ist, während er diese rsit.exe ausgeführt hat.

Ich hab die 2 Dateien (da sie für das Forum viel zu lang sind, mal geupped).

info.txt & log.txt


Auf dem Menu, dass ich oben schon gepostet habe, sieht man jetzt aufeinmal auch eine Homepage:

(falls ich die nicht posten darf, entfernt sie bitte wieder) http://www.wartibia.com/

sieht sehr polnisch aus oder ? Oo

kira 17.08.2009 21:51

hi

C:\Users\ideNt\Desktop\AEQ\aequitas.exe - zum online spielen in der Electronic Sports League benötigt
wahrscheinlich mit dem Spiel Counter-Strike Valve zu tun?

Auch weitere Info steht noch zur Verfügung unter `Eigenscfaten`,wie man es macht (bebilderte Anleitung dazu *hier*
- also Mach bitte einen Rechtsklick auf die Datei mit der Maus, schau dir an, was unter Eigenschaften steht.
- kopiere diese Angaben (wie Datei Version, Beschreibung der Datei, Copyright bei wem? FirmenName hier in deinen Thread:
Code:

aequitas.exe
ausserdem kannst gerne bei virustotal prüfen lassen

buTch1986 18.08.2009 00:49

bei der aequitas.exe handelt es sich um ein anti cheating tool der ESL ( Electronic Sports League - ESL: Electronic Sports League - The eSports Gaming League)

das kann nicht das problem sein, bzw. das programm dass sich immer wieder öffnet.

kira 20.08.2009 18:26

dann haben wir ja das hier:
Code:

Ventrilo Mix, kas Satur visas Ventrilo versijas +Mambo un Teamspeak
Datei Information
Dateistandort       
Lettland, Riga

kenn ich nicht aber...
RSIT: im Task ja zu sehen:
C:\Program Files\VentriloMIX\Ventrilo 2.1.4.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22