Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner "exploit-ms06-014"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.05.2007, 11:23   #1
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Hallo,

vermutlich durch unvorsichtiges Betätigen eines Links habe ich mir einen Trojaner eingefangen. Nachdem ich Verdacht geschöpft habe, habe ich mir ein Update meines Virensuchprogrammes (McAfee) besorgt und den Computer durchsucht. Tatsächlich habe ich drei Dateien gefunden. Als Bezeichnung ("detected as") gibt McAfee "Exploit-MS06-014" an. Leider ist es nicht möglich, den Computer zu reinigen ("clean failed"). Die Dateien wurden lediglich in den Quarantäne-Ordner verschoben. Wenn ich diesen im Arbeitsplatz anklicke, verschwindet eine der Dateien wieder nach kurzer Zeit und kann erst bei einem erneuten Suchdurchlauf wieder gefunden und verschoben werden. Ich vermute, dass das Ding nicht wirklich unschädlich gemacht ist und eine Bedrohung meines Systems darstellt.
Vielleicht kennt jemand diesen Trojaner bereits und weiß, was er anrichten kann und wie groß das Potential an Schädigung ist.
Zudem wäre ich sehr dankbar, wenn mir jemand einen Hinweis geben könnte, mit welchen Programmen sich das Problem lösen lässt?

Vielen Dank!

Alt 02.05.2007, 11:39   #2
.::|||::.
 

Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



mach mal ein hijackthis-log (siehe signatur)
__________________

__________________

Alt 02.05.2007, 11:58   #3
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Hallo, war gerade dabei, ein Log-File mit HijackThis zu erstellen. Die Antwort kam ja schnell, vielen Dank!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:45:36, on 02.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Network Associates\Common Framework\FrameworkService.exe
D:\Programme\Network Associates\VirusScan\mcshield.exe
D:\Programme\Network Associates\VirusScan\vstskmgr.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Network Associates\VirusScan\SHSTAT.EXE
D:\Programme\Network Associates\Common Framework\UpdaterUI.exe
D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\Temp\Content.IE5\ZBPQDJPO\HiJackThis_v2[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://***/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://***/proxy-info.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***
O2 - BHO: Yahoo! Toolbar Helper - {***} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {***} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {***} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {***} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {***} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "D:\Programme\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://N:\OFFICE\MSO2300\FILES\PFILES\MSOFFICE\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {***} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {***} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {***} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {***} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {***} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {***} (XML DOM Document 4.0) - file://D:\TempEI4\EI40_\msxml4.cab
O22 - SharedTaskScheduler: Browseui preloader - {***} - D:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {***} - D:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\vstskmgr.exe

--
End of file - 7129 bytes
__________________

Geändert von dw18 (02.05.2007 um 12:08 Uhr)

Alt 02.05.2007, 12:01   #4
Rene-gad
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Zitat:
Zitat von dw18 Beitrag anzeigen
vermutlich durch unvorsichtiges Betätigen eines Links habe ich mir einen Trojaner eingefangen. ....Tatsächlich habe ich drei Dateien gefunden.
Welche Dateien? Wo gefunden?

Alt 02.05.2007, 12:03   #5
undoreal
/// AVZ-Toolkit Guru
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Das war ja zu erwarten. HJT ist nicht auffällig.

Studierst du an der Uni Marburg?

-Erstelle bitte ein iClean report und poste ihne hier: -> iClean.exe in eigenem Ordner ausführen -> "Yes" -> File -> Report

-Mache einen eScan. Anleitung ist in meiner Signatur verlinkt.

Gruß

Undoreal

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 02.05.2007, 12:16   #6
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Hier der iClean-Report:

iclean log 02.05.2007 13:11:57

Windows XP SP2, Kernel functions unavailable

Processes
---------
620 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
676 - \??\D:\WINDOWS\system32\csrss.exe -

\??\D:\WINDOWS\system32\csrss.exe
716 - \??\D:\WINDOWS\system32\winlogon.exe -

\??\D:\WINDOWS\system32\winlogon.exe
760 - D:\WINDOWS\system32\services.exe - Anwendung für Dienste und

Controller
772 - D:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
924 - D:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE

Module
956 - D:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32

Services
1040 - D:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32

Services
1144 - D:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32

Services
1228 - D:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32

Services
1384 - D:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32

Services
1556 - D:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1828 - D:\Programme\Network Associates\Common

Framework\FrameworkService.exe - Framework Service
1864 - D:\Programme\Network Associates\VirusScan\mcshield.exe - On-Access

Scanner service
1912 - D:\Programme\Network Associates\VirusScan\vstskmgr.exe - Task

Manager : scheduling and OAS alerting service
1960 - D:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe - NAI Product Manager
936 - D:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
188 - D:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE

Module
1084 - D:\WINDOWS\Explorer.EXE - Windows Explorer
2332 - D:\Programme\Network Associates\VirusScan\SHSTAT.EXE - On-access

scanner statistics
2464 - D:\Programme\Network Associates\Common Framework\UpdaterUI.exe -

Common User Interface
2868 - D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe - AcroTray

(Signed)
2896 - D:\WINDOWS\system32\ctfmon.exe - CTF Loader
3752 - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet

Publisher\FNPLicensingService.exe - Activation Licensing Service
3104 - D:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
764 - D:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
2212 - D:\Programme\Internet Explorer\iexplore.exe - Internet Explorer
2348 - D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe - Adobe Acrobat

8.0 (Signed)
1576 - D:\WINDOWS\Temp\Content.IE5\6HNK5CVI\iclean[1].exe - Interactive

Cleaner

Services
--------
D:\WINDOWS\system32\alg.exe=ALG
D:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
D:\WINDOWS\system32\svchost.exe=AudioSrv
D:\WINDOWS\system32\svchost.exe=BITS
D:\WINDOWS\system32\svchost.exe=CryptSvc
D:\WINDOWS\system32\svchost.exe=DcomLaunch
D:\WINDOWS\system32\svchost.exe=Dhcp
D:\WINDOWS\system32\svchost.exe=dmserver
D:\WINDOWS\system32\svchost.exe=Dnscache
D:\WINDOWS\system32\svchost.exe=ERSvc
D:\WINDOWS\system32\services.exe=Eventlog
d:\windows\system32\svchost.exe=EventSystem
d:\programme\gemeinsame dateien\macrovision shared\flexnet

publisher\fnplicensingservice.exe=FLEXnet Licensing Service
D:\WINDOWS\system32\svchost.exe=helpsvc
D:\WINDOWS\system32\svchost.exe=HidServ
D:\WINDOWS\system32\svchost.exe=lanmanserver
D:\WINDOWS\system32\svchost.exe=lanmanworkstation
D:\WINDOWS\system32\svchost.exe=LmHosts
d:\programme\network associates\common

framework\frameworkservice.exe=McAfeeFramework
d:\programme\network associates\virusscan\mcshield.exe=McShield
d:\programme\network associates\virusscan\vstskmgr.exe=McTaskManager
D:\WINDOWS\system32\lsass.exe=Netlogon
D:\WINDOWS\system32\svchost.exe=Netman
D:\WINDOWS\system32\svchost.exe=Nla
D:\WINDOWS\system32\services.exe=PlugPlay
D:\WINDOWS\system32\lsass.exe=PolicyAgent
D:\WINDOWS\system32\lsass.exe=ProtectedStorage
D:\WINDOWS\system32\svchost.exe=RasMan
D:\WINDOWS\system32\svchost.exe=RemoteRegistry
D:\WINDOWS\system32\svchost.exe=RpcSs
D:\WINDOWS\system32\lsass.exe=SamSs
D:\WINDOWS\system32\svchost.exe=Schedule
D:\WINDOWS\system32\svchost.exe=seclogon
D:\WINDOWS\system32\svchost.exe=SENS
D:\WINDOWS\system32\svchost.exe=SharedAccess
D:\WINDOWS\system32\svchost.exe=ShellHWDetection
D:\WINDOWS\system32\spoolsv.exe=Spooler
D:\WINDOWS\system32\svchost.exe=srservice
D:\WINDOWS\system32\svchost.exe=SSDPSRV
D:\WINDOWS\system32\svchost.exe=TapiSrv
D:\WINDOWS\system32\svchost.exe=TermService
D:\WINDOWS\system32\svchost.exe=Themes
D:\WINDOWS\system32\svchost.exe=TrkWks
D:\WINDOWS\system32\svchost.exe=W32Time
D:\WINDOWS\system32\svchost.exe=WebClient
D:\WINDOWS\system32\svchost.exe=winmgmt
D:\WINDOWS\system32\svchost.exe=wuauserv
D:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=d:\windows\system32\ctfmon.exe
000=HKLM\Run: =
000=HKLM\Run: Acrobat Assistant 8.0="d:\programme\adobe\acrobat

8.0\acrobat\acrotray.exe"
000=HKLM\Run: HotKeysCmds=d:\windows\system32\hkcmd.exe
000=HKLM\Run: IgfxTray=d:\windows\system32\igfxtray.exe
000=HKLM\Run: IntelAudioStudio="d:\programme\intel audio

studio\intelaudiostudio.exe" tray
000=HKLM\Run: McAfeeUpdaterUI="d:\programme\network associates\common

framework\updaterui.exe" /startedfromrunkey
000=HKLM\Run: NeroFilterCheck=d:\windows\system32\nerocheck.exe
000=HKLM\Run: ShStatEXE="d:\programme\network

associates\virusscan\shstat.exe" /standalone
000=HKLM\Run: SigmatelSysTrayApp=sttray.exe
000=HKLM\Run: Synchronization Manager=D:\WINDOWS\system32\mobsync.exe
001=Firewall bypass: %windir%\Network

Diagnostic\xpnetdiag.exe=d:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass:

%windir%\system32\sessmgr.exe=d:\windows\system32\sessmgr.exe
001=Firewall bypass: D:\Programme\Maple

10\jre\bin\java.exe=d:\programme\maple 10\jre\bin\java.exe
001=Firewall bypass: D:\Programme\Maple

10\jre\bin\maple.exe=d:\programme\maple 10\jre\bin\maple.exe
001=Firewall bypass: D:\Programme\Maple

11\jre\bin\maple.exe=d:\programme\maple 11\jre\bin\maple.exe
020=SSODL: CDBurn=D:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=D:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=d:\windows\system32\stobject.dll
020=SSODL: WebCheck=D:\WINDOWS\system32\webcheck.dll
030=BHO: {***}=d:\programme\yahoo!\companion\installs\cpn\yt.dll (Yahoo!

Toolbar Helper)
030=BHO: {***}=(null) ()
030=BHO: {***}=(null) ()
031=Toolbar: {***}=D:\WINDOWS\system32\browseui.dll
031=Toolbar: {***}=D:\WINDOWS\system32\shell32.dll
031=Toolbar: {***}=(null)
031=Toolbar: {***}=d:\programme\yahoo!\companion\installs\cpn\yt.dll
031=Toolbar: ITBar7Layout=(null)
031=Toolbar: {***}=(null)
031=Toolbar: {***}=d:\programme\yahoo!\companion\installs\cpn\yt.dll

Startup Folders
---------------
Common: adobe acrobat - schnellstart.lnk -> D:\Programme\Adobe\Acrobat

8.0\Acrobat\acrobat_sl.exe
Common: adobe gamma.lnk ->

D:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
Common: adobe reader synchronizer.lnk ->

D:\PROGRA~1\Adobe\ACROBA~3.0\Acrobat\ADOBEC~1.EXE
Common: desktop.ini
Personal: desktop.ini

HOSTS
-----
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

*** localhost

Alt 02.05.2007, 12:27   #7
undoreal
/// AVZ-Toolkit Guru
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



O.k.

-Lasse die .exe deines Maple bitte vorsichtshalber auf Virustotal checken.

-Dann beantworte bitte noch Rene-gad's Frage un meine nach der Uni Marburg..

und den eScan.

Gruß

Undoreal
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 02.05.2007, 12:31   #8
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Die Uni stimmt schon. eScan dauert noch ein bißchen.
Bezüglich der Dateien: die vom Scanner gefundenen Dateien enden auf ".vir" und befinden sich im Quarantine-Verzeichnis.

Geändert von dw18 (02.05.2007 um 12:44 Uhr)

Alt 02.05.2007, 12:45   #9
undoreal
/// AVZ-Toolkit Guru
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Gut.
Und magst du aus deinem McAffe noch rausprügeln wo er die Dateien gefunden hat und welche es sind? Irgendwo in den Tiefen der Berichte sollte sich das finden..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 02.05.2007, 12:54   #10
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Welche Maple-Datei meinst Du? Es gibt mehrere exe-Dateien, sind auch andere Dateitypen relevant?
In dem McAfee-Bericht habe ich nichts Brauchbares gefunden.

Alt 02.05.2007, 12:57   #11
undoreal
/// AVZ-Toolkit Guru
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



k.

lasse alle .exe Datein durchsuchen; das ist zwar etwas nervig aber sicher ist sicher. Andere Dateitypen kannst du ignorieren.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 02.05.2007, 13:02   #12
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



oK. Noch eine Frage. Bei der eScan-Anleitung steht, man solle alle "Scanner/Wächter" deaktivieren. Bevor ich also Windows im abgesicherten Modus neu starte, soll ich McAfee deaktivieren, oder was ist damit gemeint?

Danke

Alt 02.05.2007, 13:39   #13
undoreal
/// AVZ-Toolkit Guru
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Zitat:
soll ich McAfee deaktivieren
jup! allerdings wird der im abgesicherten eh nicht mitgestartet. Nur starte ihn halt nicht manuell.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 02.05.2007, 13:47   #14
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



Danke. eScan habe ich jetzt runtergeladen. Ich werde jetzt im abgesicherten Modus neu starten.
Im Maple -Verzeichnis gibt es eine Unzahl von exe-Dateien, damit werde ich noch ein Weilchen beschäftigt sein.

Alt 02.05.2007, 14:23   #15
dw18
 
Trojaner "exploit-ms06-014" - Standard

Trojaner "exploit-ms06-014"



OK, eSCan ist fertig. Im Prinzip wurden wieder die gleichen Dateien im Quarantäne-Verzeichnis gefunden. Auch hier sehe ich keine Infos, wo die Dateien ursprünglich herkommen.
Das Ungeziefer hat jetzt einen anderen Namen:

Trojan-downloader VBS.agent ap

Hier das log-file:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed May 02 15:07:46 2007 => *** Datei G:\Programme\Adobe\Adobe Photoshop CS2\VersionCueUI.dll in Grösse beschränkt ***. Filesize 3096 kb
Wed May 02 14:53:32 2007 => Virus-Datenbank Datum: 5/2/2007
Wed May 02 15:08:02 2007 => Virus-Datenbank Datum: 5/2/2007
Wed May 02 15:08:45 2007 => Virus-Datenbank Datum: 5/2/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Wed May 02 14:55:51 2007 => Datei C:\QUARANTINE\0[1].html.Vir.0.Vir.Vir infiziert von "Trojan-Downloader.VBS.Agent.ap" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed May 02 14:55:52 2007 => Datei C:\QUARANTINE\0[1].html.Vir.1.Vir.Vir.Vir.Vir infiziert von "Trojan-Downloader.VBS.Agent.ap" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Wed May 02 14:55:52 2007 => Datei C:\QUARANTINE\0[1].html.Vir.Vir infiziert von "Trojan-Downloader.VBS.Agent.ap" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 02 15:08:02 2007 => Gefundene Viren: 3
Wed May 02 15:08:02 2007 => Anzahl Fehler: 108
Wed May 02 15:08:02 2007 => Dauer des Scans bisher: 00:14:03
Wed May 02 15:08:02 2007 => Gescannte Dateien: 69132
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Was nun?

Antwort

Themen zu Trojaner "exploit-ms06-014"
arbeitsplatz, bedrohung, bereits, clean, computer, dateien, detected, erneute, failed, hinweis, klicke, links, mcafee, nicht möglich, problem, programmen, quara, reinigen, schädlich, systems, troja, trojaner, update, verdacht, verschwindet, wirklich




Ähnliche Themen: Trojaner "exploit-ms06-014"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "EXP/CVE-2011-3402' [exploit]" heute gefunden und (bereits länger) "Server ist ausgelastet" Meldung
    Log-Analyse und Auswertung - 17.12.2013 (3)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. Diverse "Buren" "Lamar" sowie ein Exploit Virus entdeckt
    Plagegeister aller Art und deren Bekämpfung - 04.09.2013 (13)
  5. Trojaner: "HEUR:Exploit.Java.CVE-2012-1723.gen" in c:\documents and settings\ela\appdata\local\temp\jar_cache8475908429309578927.tmp
    Plagegeister aller Art und deren Bekämpfung - 08.04.2013 (6)
  6. "HEUR:Exploit.Java.CVE-2012-4681.gen" entfernen
    Plagegeister aller Art und deren Bekämpfung - 13.01.2013 (2)
  7. "BKA EXPLOIT" EXP/CVE-2011-3544.AM' Desktop nicht mehr zugänglich.
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (13)
  8. AVG-Meldungen: "Exploit Blackhole Exploit KIT" und "Infected Virus found JD/Redir" - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.12.2011 (11)
  9. viren "Trojan:Win32/Bumat!rts" und "Exploit Java/CVE-2010-0840.ew" auf Laptop
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (8)
  10. Avira Antivir meldet "EXP/CVE-2010-0840.AC' [exploit]"
    Log-Analyse und Auswertung - 04.10.2011 (5)
  11. BKA Trojaner "Drive by Exploit"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2011 (2)
  12. exploit-MS06-014 Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.05.2009 (0)
  13. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  14. Ärger mit "Intrusion.Win:DCOM.exploit" über Kaspersky und mit SmitRem
    Antiviren-, Firewall- und andere Schutzprogramme - 31.08.2007 (10)
  15. Trojaner "exploit-ms06-014"
    Log-Analyse und Auswertung - 28.08.2007 (69)
  16. AntiVir: "HTML/Exploit.Mhtml in hijackthis.log"??? Bitte anschauen...
    Log-Analyse und Auswertung - 30.12.2006 (2)
  17. "DSO Exploit" und "Alexa Relatet" HiJack prüfen
    Log-Analyse und Auswertung - 02.07.2004 (3)

Zum Thema Trojaner "exploit-ms06-014" - Hallo, vermutlich durch unvorsichtiges Betätigen eines Links habe ich mir einen Trojaner eingefangen. Nachdem ich Verdacht geschöpft habe, habe ich mir ein Update meines Virensuchprogrammes (McAfee) besorgt und den Computer - Trojaner "exploit-ms06-014"...
Archiv
Du betrachtest: Trojaner "exploit-ms06-014" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.