Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: WINXP:Server.bat Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.01.2008, 19:53   #1
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Guten Abend.

Habe seit gestern ein Problem mit einer Datei, bzw. Anwendung.
Zuerst ist meine Firewall angegangen, da "C:\WINXP:Server.bat" auf das Internet zugreifen wollte, habe dies aber dank der Firewall verhindern können.

Und jetzt kam beim Start von XP auch die Meldung von AntiVir, das ein Trojaner gefunden wurde.

HiJack This spuckt die Datei auch aus:

O4 - HKCU\..\Run: [SharK] C:\WINXP:Server.bat

Antivir sagt:

Ist das Trojanische Pferd TR/Agent.304128.1

Wie kann ich diese Datei löschen? AntiVir schafft es nicht und mit Fix Checked unter HiJack funktioniert es auch nicht.

Bitte um Hilfe!

PatZil

Alt 20.01.2008, 20:06   #2
Clermont-Ferrand
Gast
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Poste zusätzlich ein HijackThis-Logfile. Editiere bitte aber vorher persönliche Angaben und Links. (Beides steht in meiner Signatur)

BTW, AntiVir ist bekannt für 'ne gute Erkennung, allerdings manchmal zu gut, wenn Du Glück hast, ist es ein FP.

Lade die betreffende Datei auch bei VirusTotal hoch und poste das komplette Ergebnis. (Link ist ebenfalls in meiner Sig)
__________________


Alt 20.01.2008, 20:21   #3
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Okay, hier die

HiJack This Log-File:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:23, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {***} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [System Files Updater] C:\WINXP\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SharK] C:\WINXP:Server.bat
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {***} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {***} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {***} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {***} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 5793 bytes
und das Virus Total Ergebnis.

Zitat:
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.1.19.10;2008.01.18;-
AntiVir;7.6.0.48;2008.01.20;-
Authentium;4.93.8;2008.01.20;-
Avast;4.7.1098.0;2008.01.20;-
AVG;7.5.0.516;2008.01.20;-
BitDefender;7.2;2008.01.20;-
CAT-QuickHeal;9.00;2008.01.19;-
ClamAV;0.91.2;2008.01.20;-
DrWeb;4.44.0.09170;2008.01.20;-
eSafe;7.0.15.0;2008.01.16;-
eTrust-Vet;31.3.5470;2008.01.18;-
Ewido;4.0;2008.01.20;-
FileAdvisor;1;2008.01.20;-
Fortinet;3.14.0.0;2008.01.20;-
F-Prot;4.4.2.54;2008.01.19;-
F-Secure;6.70.13260.0;2008.01.20;-
Ikarus;T3.1.1.20;2008.01.20;-
Kaspersky;7.0.0.125;2008.01.20;-
McAfee;5211;2008.01.18;-
Microsoft;1.3109;2008.01.20;-
NOD32v2;2808;2008.01.20;-
Norman;5.80.02;2008.01.20;-
Panda;9.0.0.4;2008.01.20;-
Prevx1;V2;2008.01.20;-
Rising;20.27.62.00;2008.01.20;-
Sophos;4.24.0;2008.01.20;-
Sunbelt;2.2.907.0;2008.01.17;-
Symantec;10;2008.01.20;-
TheHacker;6.2.9.191;2008.01.19;-
VBA32;3.12.2.5;2008.01.19;-
VirusBuster;4.3.26:9;2008.01.20;-
Webwasher-Gateway;6.6.2;2008.01.20;-

weitere Informationen
File size: 5530 bytes
MD5: b1e50f129e5905ab3da30c6faae5dcc8
SHA1: a6dc0428439834bb627a1fba2d6681a39941cf1a
PEiD: -
Die Datei kann ich ja auch nicht finden und per AntiVir lässt sie sich nicht löschen, denke also schon das es eine bösartige Datei ist.

PatZil
__________________

Alt 20.01.2008, 21:24   #4
KarlKarl
/// Helfer-Team
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Hi,

die Datei ist ein ADS, der an dein Windowsverzeichnis gehängt wurde, der ':' ist das entscheidende Zeichen, das zu erkennen.

Ansonsten ist es vermutlich eine normale Batchdatei, was von der aus auf deinem System passiert, kann man nur durch ihren Inhalt begutachten. Dazu Notepad starten, Datei -> öffnen -> Dateityp auf "alle" stellen -> "C:\WINXP:Server.bat" in das Feld für den Dateinamen kopieren -> öffnen. Das sollte den Inhalt sichtbar (und kopierbar) machen.

Gruß, Karl

Alt 20.01.2008, 21:32   #5
Jaipur
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Hallo PatZil,

eine kurze Frage:

Hand aufs Herz, ist das ein legales Windows, das Du da nutzt?

Gruß

Jaipur


Alt 21.01.2008, 16:00   #6
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Hi,

habe die Datei entfernen können.
Und ja, es handelt sich um ein original Windows XP.

Gruß PatZil

Alt 21.01.2008, 18:27   #7
KarlKarl
/// Helfer-Team
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Nicht mehr zu erfahren, was drin stand? Könnten Befehle gewesen sein, die schwere Löcher in das System reißen.

Alt 21.01.2008, 22:50   #8
PatZil
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



Die Datei ist noch bei AntiVit unter Quarantäne, herstellen also möglich.

Ist ziemlich verschlüsselt, das einzige was heraussticht ist die Seite w*w.shark-project.info

Alt 31.01.2008, 14:51   #9
sufffer
 
WINXP:Server.bat Trojaner - Standard

WINXP:Server.bat Trojaner



wie hast du von der seite erfahren? also wenn es ein shark BdT ist dann würde ich sofort dein system neu aufsetzen und passwörter dannach erneuern!

Antwort

Themen zu WINXP:Server.bat Trojaner
antivir, datei, firewall, fix, funktioniert, gen, gestern, guten, interne, internet, löschen, löschen?, meldung, pferd, problem, shark, start, this, troja, trojane, trojaner, trojaner gefunden, trojanische, trojanische pferd, verhindern, winxp, zugreifen



Ähnliche Themen: WINXP:Server.bat Trojaner


  1. WinXP SP3 Malware - Virenscanner usw. lassen sich nicht installieren! Dualbootsystem WinXP/Win7
    Log-Analyse und Auswertung - 13.12.2013 (15)
  2. GVU Trojaner auf WinXP Sp3
    Log-Analyse und Auswertung - 03.08.2013 (9)
  3. WinXP GVU Trojaner 2.12 eingefangen
    Log-Analyse und Auswertung - 20.05.2013 (6)
  4. WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (15)
  5. GVU-Trojaner bei WinXP
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (21)
  6. GVU Trojaner WinXP Professional SOS
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (1)
  7. BKA-Trojaner 1.13 auf winxp
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (19)
  8. BKA Trojaner 1.13 auf WinXP
    Log-Analyse und Auswertung - 15.10.2012 (2)
  9. WinXP BKA-Trojaner v1.13
    Log-Analyse und Auswertung - 21.09.2012 (16)
  10. WinXP GVU Trojaner 2.07 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (14)
  11. GVU Trojaner WinXP
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (15)
  12. GVU-Trojaner mit Wasserwebcam WinXP SP3
    Log-Analyse und Auswertung - 18.07.2012 (7)
  13. WinXP GVU Trojaner 2.07
    Log-Analyse und Auswertung - 17.07.2012 (9)
  14. GVU Trojaner WinXP SP3 - weg?
    Log-Analyse und Auswertung - 07.06.2012 (5)
  15. GVU Trojaner unter winxp
    Log-Analyse und Auswertung - 26.05.2012 (45)
  16. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
  17. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)

Zum Thema WINXP:Server.bat Trojaner - Guten Abend. Habe seit gestern ein Problem mit einer Datei, bzw. Anwendung. Zuerst ist meine Firewall angegangen, da "C:\WINXP:Server.bat" auf das Internet zugreifen wollte, habe dies aber dank der Firewall - WINXP:Server.bat Trojaner...
Archiv
Du betrachtest: WINXP:Server.bat Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.