Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Manipulierte Bilddateien

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.12.2004, 12:08   #1
ria
 
Manipulierte Bilddateien - Daumen hoch

Manipulierte Bilddateien



Hi, per mail erhielt ich eine Bilddatei klo1.2.jpg
Geöffnet habe ich auch, es war aber nur Sch... zu sehen
wie kriege ich heraus, ob darauf eine Backdoor-Datei installiert war
und ob mein Rechner infiziert, oder was auch immer ist?
Geprüft habe ich mit Virenschutz (-) Ad-Adware (-) gdi-scan (drei angreifbate Stellen) und Hijacks.
Hier bräuchte ich Hilfe ....................................................



Logfile of HijackThis v1.97.7
Scan saved at 12:07:01, on 05.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG-KE~1\avgserv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\Drivers\SAP\FD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG-KE~1\avgcc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\Programme\Programme_PC_Allg\Hijack_\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\BayerR\Desktop\gdiscan.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\PROGRA~1\spybot\Programm\SPYBOT~2\SDHelper.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG-KE~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [BPP Disk Control Panel] C:\Programme\PrimeWorx\GlobalSafeDisk\disk_enc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra 'Tools' menuitem: Übersetzen (HKLM)
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D86C0C9-CDAC-481A-9C03-9B1C70A9B7D2}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B835FE-BFD3-4BE6-8B1E-4C7D3A960A3F}: NameServer = 194.97.173.125 194.97.173.124

Alt 05.12.2004, 12:12   #2
cacatoa
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Bitte erstell ein neues Logfile mit HijackThis Version 1.98.2 und poste es rein.
__________________

__________________

Alt 05.12.2004, 12:37   #3
ria
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Also hier die Neueinscannung

Logfile of HijackThis v1.98.2
Scan saved at 12:35:20, on 05.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG-KE~1\avgserv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\Drivers\SAP\FD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG-KE~1\avgcc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\BayerR\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\PROGRA~1\spybot\Programm\SPYBOT~2\SDHelper.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG-KE~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [BPP Disk Control Panel] C:\Programme\PrimeWorx\GlobalSafeDisk\disk_enc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D86C0C9-CDAC-481A-9C03-9B1C70A9B7D2}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B835FE-BFD3-4BE6-8B1E-4C7D3A960A3F}: NameServer = 194.97.173.125 194.97.173.124
__________________

Alt 05.12.2004, 13:12   #4
cacatoa
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



also, ich habe ein paar unbekannte Dateien gefunden, die aber bei genauerem Hinschauen zu Toshiba gehören.
Das hier solltest du bei jotti online scannen:
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\TPSMain.exe

Wenn du die folgenden nicht brauchst/willst, kannst du sie mit HJT fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (file missing)

Die Adresse: NameServer = 194.97.173.125 194.97.173.124
kannst du hier prüfen; ob sie zu dir gehört; HJT ist sich darüber nicht sicher.

Bitte berichte über die Jotti-Ergebnisse.
Also, mach mal
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 05.12.2004, 13:52   #5
ria
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Die Überprüfung ergab: kein Virenbefall!!
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\TPSMain.exe

Rest fixiert.....erledigt.

Nun bleibt aber die Frage offen ob ich durch diese Sch...
Datei was eingefangen habe oder nicht?!!
Willst sehen??
Es ist nähmlich ganz gemein.......


Alt 05.12.2004, 13:59   #6
ria
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Die IP Adresse mit ipX- gescannt:: dus2.cns.mcbone.net
und nach

DNS-Server: ns1.kloth.net
DNS-Server-Adresse: 213.133.98.149#53

** server can't find 194.97.173.125\032194.97.173.124.: NXDOMAIN

was ist richtig???

Alt 05.12.2004, 14:51   #7
cacatoa
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



mcbone ist richtig; ob das allerdings von dir gewünscht ist, weiß ich nicht.
Den Test, ob du dir was eingefangen hast machst du über eScan (mwav.exe runterladen, in einen zuvor von Dir erstellten Ordner C:\bases (wichtig) entpacken, dann updaten (kavupd.exe), dann scannen (mwavscan.com), dabei alle Häkchen setzen vor allem: scan all local drives)
Bitte das Ergebnis reinposten: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected und/oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 05.12.2004, 17:35   #8
ria
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Hi,
ob ich diese bone-Datei möchte weiß ich nicht, denn sagen tut sie mir nur wenig. Wenn ich nicht das Gefühl hätte, dass sich ein Spion im System befindet, würde ich nur interessiert fragen wozu das gut sein soll, so aber bin ich sehr interessiert zu erfahren, ob der Eintrag für Missbrauch verwendet werden kann.

Nun im weiteren ich hoffe sehr alles richtig gemacht zu haben, es hat ja auch mit der Beschreibung gut funktioniert .. bis zum Scan. Hier weiß ich nicht ob das Ergebnis richtig ist (alle Häckchen sind gesetzt)::

Als Meldung bekomme ich bei "infected /tagged", dass es nicht gefunden werden kann.

Hinter view log erscheint Folgendes

Sun Dec 05 17:05:03 2004 => **********************************************************
Sun Dec 05 17:05:03 2004 => eScan AntiVirus Toolkit Utility.
Sun Dec 05 17:05:03 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Dec 05 17:05:03 2004 => **********************************************************
Sun Dec 05 17:05:03 2004 => Version 4.1.9
Sun Dec 05 17:05:03 2004 => Log File: C:\bases\mwav.log
Sun Dec 05 17:05:03 2004 => Latest Date of files inside MWAV: 05 Dec 2004 18:01:01.
Sun Dec 05 17:05:03 2004 => AV Library Loaded...
Sun Dec 05 17:05:03 2004 => Scanning File C:\bases\kavss.exe
Sun Dec 05 17:05:03 2004 => Scanning File C:\bases\Getvlist.exe
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavss.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavssdi.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavssi.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavvlg.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\msvlclnt.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\ipc.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\main.avi
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\virus.avi
Sun Dec 05 17:05:04 2004 => Virus Database Date: 2004/12/05
Sun Dec 05 17:05:04 2004 => Virus Database Count: 111557
Sun Dec 05 17:07:10 2004 => Generating Virus List... getvlist.exe C:\bases\vlist.txt
Sun Dec 05 17:14:21 2004 => Generating Virus List... getvlist.exe C:\bases\vlist.txt

Heißt das, das nichts auf dem Rechner ist, oder das etwas nicht korrekt ausgeführt ist?
Bis dann....

Alt 05.12.2004, 17:40   #9
chaosman
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



@ria
Als Meldung bekomme ich bei "infected /tagged", dass es nicht gefunden werden kann.

dann müßte doch alles ok sein.

per mail erhielt ich eine Bilddatei klo1.2.jpg
Geöffnet habe ich auch, es war aber nur Sch... zu sehen
nächstes mal nicht so neugierig sein, gell

chaosman
__________________
Bonus vir semper tiro

Alt 05.12.2004, 17:43   #10
cacatoa
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



So wie es aussieht, hast du gar nicht gescannt...
Lies Dir meinen post nochmal genau durch. Vor dem scannen unbedingt Häkchen bei: scan all local drives!
Vergleiche mal Deine eigene IP.
Nach dem richtigen Scan bitte noch mal das Log von escan. An das Log kommst Du so, wie ich es im letzten post beschrieben habe!
__________________
Der Mensch sollte eine Hundeseele haben

Alt 05.12.2004, 17:44   #11
cacatoa
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



@ chaosman:
Sie hat nicht gescannt, sonst müßte zu sehen sein, wieviele files geprüft wurden; geprüft wurde aber nur der Ordner C:\bases....
__________________
Der Mensch sollte eine Hundeseele haben

Alt 05.12.2004, 17:46   #12
Haui45
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

Alt 05.12.2004, 19:22   #13
ria
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Hi, die Arbeit ist getan......
Hier das Ergebnis::

D:\Programme\Programme_PC_Allg\CD_PC_Welt\Passwort\iopus-pwdrec-setup-de.exe
Sun Dec 05 18:48:20 2004 => File D:\Programme\Programme_PC_Allg\CD_PC_Welt\Passwort\iopus-pwdrec-setup-de.exe infected by "Backdoor.Win32.Optix.Pro.13" Virus. Action Taken: File Renamed.


Sun Dec 05 18:52:12 2004 => Total Number of Files Scanned: 37686
Sun Dec 05 18:52:12 2004 => Total Number of Virus(es) Found: 2
Sun Dec 05 18:52:12 2004 => Total Number of Disinfected Files: 0
Sun Dec 05 18:52:12 2004 => Total Number of Files Renamed: 1
Sun Dec 05 18:52:12 2004 => Total Number of Deleted Files: 0
Sun Dec 05 18:52:12 2004 => Total Number of Errors: 3
Sun Dec 05 18:52:12 2004 => Time Elapsed: 00:36:06
Sun Dec 05 18:52:12 2004 => Virus Database Date: 2004/12/05
Sun Dec 05 18:52:12 2004 => Virus Database Count: 111557

Sun Dec 05 18:52:12 2004 => Scan Completed.


Darüberhinauswar noch ein Virus angezeigt, allerdings als nicht aktiv ::
Pegasus\Version421\Englisch\w32-421c.exe tagged as not-a-virus:ToolWinReboot, No Action Taken

Also bis auf diesen verseuchten pc-Welt (????!!!! !!!???) -Eintrag scheint kein Virus auf dem Rechner zu hausieren.
Kein Backdoor, Spion oder was auch immer.
Was machr dann diese Sch......-Bild auf dem Rechner????!!
War das eine Aufregung um sonst, oder könnte noch was kommen, z.B beim vernichten???

Alt 05.12.2004, 19:43   #14
cacatoa
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Hallo, ria,
wie schon im escan beschrieben, handelt es sich um einen Backdoor-Trojaner, erkannt von allen bekannten scannern. Schau mal hier. Informiere Dich über Backdoortrojaner hier im board oder bei Tante google. Ich glaube, ich bin nicht der einzige, der Dir zum Neuaufsetzen des Systems rät.
Sorry

Edit: siehe auch hier.
__________________
Der Mensch sollte eine Hundeseele haben

Geändert von cacatoa (05.12.2004 um 19:44 Uhr) Grund: Edit

Alt 06.12.2004, 02:49   #15
charlie1
 
Manipulierte Bilddateien - Standard

Manipulierte Bilddateien



Also, wenn dir schon einer so einen Klassiker wie Optix übergeholfen hat, hat der das Teil auch benutzt, =>alle Passwörter ändern und das ganz schnell!
Mich aber persönlich, würde der Infektionsweg interessiere, war das Ding wirklich in einem Bild implantiert? Und von wem hast du die Mail?
Liebe Grüße, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Geändert von charlie1 (06.12.2004 um 11:03 Uhr)

Antwort

Themen zu Manipulierte Bilddateien
adobe, bho, desktop, drivers, dsl, einstellungen, explorer, file missing, hijackthis, hilfe, ics, infiziert, installation, internet, internet explorer, messenger, microsoft, nvcpl.dll, programme, rundll, rundll32.exe, schutz, sun java, system, system32, tcpip, virenschutz, windows, windows messenger, windows xp, windows\system32\drivers, wireless



Ähnliche Themen: Manipulierte Bilddateien


  1. manipulierte Proxy-Settings
    Log-Analyse und Auswertung - 20.05.2015 (8)
  2. Schadcode in Bilddateien
    Plagegeister aller Art und deren Bekämpfung - 23.06.2014 (3)
  3. NSA-Skandal: Cisco beschwert sich über manipulierte Postsendungen
    Nachrichten - 15.05.2014 (0)
  4. Manipulierte Weiterleitung (Amazon) immer auf http://www.amazon.de/?cmd=redxme
    Plagegeister aller Art und deren Bekämpfung - 30.06.2013 (5)
  5. Manipulierte Apache-Binaries laden Schadcode
    Nachrichten - 28.04.2013 (0)
  6. Sind meine Bilddateien verschlüsselt, oder defekt
    Alles rund um Windows - 27.02.2013 (4)
  7. Manipulierte Kreditkarten ohne Limit
    Nachrichten - 08.02.2013 (0)
  8. Manipulierte Online Banking Seite
    Log-Analyse und Auswertung - 07.10.2012 (13)
  9. Manipulierte Daten lassen DNS-Server bind abstürzen
    Nachrichten - 13.09.2012 (0)
  10. Verschlüsselungs-Trojaner hat Bilddateien umbenannt und ändert vermutlich noch immer Grafiken
    Log-Analyse und Auswertung - 23.05.2012 (7)
  11. 45 Prozent weniger Opfer durch manipulierte Geldautomaten
    Nachrichten - 23.12.2011 (0)
  12. Google - Suchanfragen werden umgeleitet, manipulierte TCP/IP-Einstellungen
    Log-Analyse und Auswertung - 14.11.2010 (19)
  13. Manipulierte Kartenterminals in US-Filialen von Aldi
    Nachrichten - 11.10.2010 (2)
  14. Bilddateien im ***.exe Format
    Plagegeister aller Art und deren Bekämpfung - 08.08.2010 (14)
  15. Winamp stolpert über manipulierte FLV-Dateien
    Nachrichten - 14.07.2010 (0)
  16. Trojaner in Bilddateien?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2006 (1)
  17. Bilddateien
    Plagegeister aller Art und deren Bekämpfung - 23.10.2004 (4)

Zum Thema Manipulierte Bilddateien - Hi, per mail erhielt ich eine Bilddatei klo1.2.jpg Geöffnet habe ich auch, es war aber nur Sch... zu sehen wie kriege ich heraus, ob darauf eine Backdoor-Datei installiert war und - Manipulierte Bilddateien...
Archiv
Du betrachtest: Manipulierte Bilddateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.