Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Re: need help

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 23.01.2006, 17:56   #1
Mr.Icetea
 
Re: need help - Standard

Re: need help



guten abend,

hatte mir heute morgen einen Virus eingefangen(auf astalavista.box.sk), und daraufhin avpersonal durchlaufen lassen (der hat trotz regelmäßiger scans tatsächlich 6 vireneinträge gefunden); der taskmanager läßt sich nicht mehr starten, angeblich vom andmin gesperrt; das logfile hatte ich bereits gepostet woraufhin ich dann mit e-scan nochmal einen durchlauf machen sollte;

hier ist jetzt nochmal die log datei von HijackThis und die von e-scan

wär super wenn ihr mir helfen könntet; vielen dank im voraus
hier die log von hijack

unning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\cmd32.exe
C:\Programme\Matlab\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - E:\monki.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\Matlab\webserver\bin\win32\matlabserver.exe


und hier die log von e-scan

Mon Jan 23 13:53:42 2006 => File C:\WINDOWS\system32\WININET.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Mon Jan 23 13:53:42 2006 => File C:\WINDOWS\system32\OLEEXT.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Mon Jan 23 13:54:04 2006 => File C:\WINDOWS\System32\cmd32.exe infected by "Trojan-Downloader.Win32.Delf.aco" Virus! Action Taken: No Action Taken.
Mon Jan 23 13:54:26 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Mon Jan 23 13:54:26 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Jan 23 13:54:26 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Jan 23 13:54:29 2006 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:29 2006 => System found infected with cws.loadadv.400 Browser Hijacker (ms1.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:29 2006 => System found infected with smitfraud variant Browser Hijacker (secure32.html)! Action taken: No Action Taken.
Mon Jan 23 13:54:29 2006 => System found infected with cws.loadadv.400 Browser Hijacker (tool2.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:29 2006 => System found infected with cws.loadadv.401 Browser Hijacker (tool3.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:29 2006 => System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:31 2006 => System found infected with bridge Spyware/Adware (a.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:35 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: No Action Taken.
Mon Jan 23 13:54:44 2006 => System found infected with smitfraud variant Browser Hijacker (oleext.dll)! Action taken: No Action Taken.
Mon Jan 23 13:54:44 2006 => System found infected with paymite Trojan-Spy (paytime.exe)! Action taken: No Action Taken.
Mon Jan 23 13:54:45 2006 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.
Mon Jan 23 13:54:45 2006 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.
Mon Jan 23 13:55:30 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\D.tmp.q_5708A00_q infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:01:18 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\32NDL1N3\bag[1].htm infected by "Exploit.JS.CVE-2005-1790.j" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:15:31 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JKEK39KA\start[1].exe infected by "Trojan-Downloader.Win32.Small.cci" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:20:50 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDUC9BT8\pic[1].wmf infected by "Exploit.Win32.IMG-WMF" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:22:48 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SVPZQ2V9\fillmemadv470[2].htm infected by "Exploit.JS.CVE-2005-1790.j" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:22:49 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SVPZQ2V9\free[1].anr infected by "Trojan-Downloader.Win32.Ani.c" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:23:03 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SVPZQ2V9\java[1].jar infected by "Trojan-Downloader.Java.OpenConnection.aj" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:23:51 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UPRK9O76\fillmemadv470[2].htm infected by "Exploit.JS.CVE-2005-1790.j" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:24:36 2006 => File C:\Dokumente und Einstellungen\Mr. Icetea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VBLRNHKW\Beyond[1].class infected by "Trojan-Dropper.Java.Beyond.j" Virus! Action Taken: No Action Taken.
Mon Jan 23 14:36:12 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Jan 23 14:44:59 2006 => File C:\Programme\HiJackThis\backups\backup-20050220-212421-651.dll infected by "Trojan.Win32.StartPage.ix" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:22:09 2006 => File C:\RECYCLER\S-1-5-21-1644491937-1580436667-1060284298-1003\Dc189.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:33:36 2006 => File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Delf.aco" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:42:07 2006 => File C:\WINDOWS\system32\kbek.dll infected by "Trojan.Win32.StartPage.ix" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:43:15 2006 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:44:49 2006 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:45:40 2006 => File C:\WINDOWS\Temp\C.tmp.exe infected by "Trojan-Downloader.Win32.Small.ceg" Virus! Action Taken: No Action Taken.
Mon Jan 23 17:17:59 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jan 23 14:37:33 2006 => File C:\Programme\DAEMON Tools\SetupDTSB.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bi". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jan 23 13:54:28 2006 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\vvsn !!!
Mon Jan 23 13:54:29 2006 => Offending file found: C:\WINDOWS\kl.exe
Mon Jan 23 13:54:29 2006 => Offending file found: C:\WINDOWS\ms1.exe
Mon Jan 23 13:54:29 2006 => Offending file found: C:\WINDOWS\secure32.html
Mon Jan 23 13:54:29 2006 => Offending file found: C:\WINDOWS\tool2.exe
Mon Jan 23 13:54:29 2006 => Offending file found: C:\WINDOWS\tool3.exe
Mon Jan 23 13:54:29 2006 => Offending file found: C:\WINDOWS\toolbar.exe
Mon Jan 23 13:54:31 2006 => Offending file found: C:\WINDOWS\TEMP\a.exe
Mon Jan 23 13:54:35 2006 => Offending file found: C:\WINDOWS\TEMP\outlook logging\firstrun.log
Mon Jan 23 13:54:44 2006 => Offending file found: C:\WINDOWS\System32\oleext.dll
Mon Jan 23 13:54:44 2006 => Offending file found: C:\WINDOWS\System32\paytime.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jan 23 17:17:59 2006 => Total Objects Scanned: 126572
Mon Jan 23 17:17:59 2006 => Total Critical Objects: 36
Mon Jan 23 17:17:59 2006 => Total Disinfected Objects: 0
Mon Jan 23 17:17:59 2006 => Total Deleted Objects: 0
Mon Jan 23 17:17:59 2006 => Total Errors: 8
Mon Jan 23 17:17:59 2006 => Time Elapsed: 03:14:48
Mon Jan 23 13:53:12 2006 => Virus Database Date: 1/23/2006
Mon Jan 23 17:17:59 2006 => Virus Database Date: 1/23/2006
Mon Jan 23 17:21:36 2006 => Virus Database Date: 1/23/2006

Alt 23.01.2006, 18:45   #2
hoerni26
 
Re: need help - Standard

Re: need help



poste mal ein HJT logfile mitsamt dem kopf..
aber ich glaube das einzige was hier wirklich noch sicher hilf ist ein Neuaufsetzen des systems..
__________________

__________________

Alt 23.01.2006, 19:01   #3
Mr.Icetea
 
Re: need help - Standard

Re: need help



k hier ist die komlette logfile; ich weiß ich sollte mir mal sp2 draufziehen hab aber nich wirklich zeit und keine aktuelle serial; zum neuaufsetzten des systems fehlt mir die software also muss ich irgendwie versuchen das so wieder hinzubiegen; hab jetzt erstmal temporäre ordner gelöscht

--> glaub die cmd32.exe war der auslöser;

vielen dank für die hilfe


Logfile of HijackThis v1.99.1
Scan saved at 17:40:17, on 23.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\cmd32.exe
C:\Programme\Matlab\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - E:\monki.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\Matlab\webserver\bin\win32\matlabserver.exe
__________________

Alt 23.01.2006, 19:06   #4
hoerni26
 
Re: need help - Standard

Re: need help



lass mal diese beiden dateien online bei jotti prüfen:

C:\WINDOWS\System32\cmd32.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile

teile das ergebniss dann hier mit
link zu jotti findest du in meiner signatur..
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Alt 23.01.2006, 19:21   #5
Mr.Icetea
 
Re: need help - Standard

Re: need help



so hier ist das ergebnis von lotti; die 2te datei hab ich in der system32nicht gefunden


Datei: cmd32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: FSG

AntiVir Trojan/Dldr.Biz.A.2 gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Trojano-3293 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Generic.Malware.SYdld.5174F43E gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.6397 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.aco gefunden
NOD32 a variant of Win32/TrojanDownloader.Delf.OG gefunden
Norman Virus Control Sandbox: W32/Downloader; [ General information ]

* File might be compressed.
* Creating several executable files on hard-drive.
* File length: 7985 bytes.

[ Changes to filesystem ]
* Creates file sdfff.
* Creates file C:\WINDOWS\SYSTEM32\z12.exe.
* Creates file fdsf.
* Creates file C:\WINDOWS\SYSTEM32\z11.exe.
* Creates file zxczxc.
* Creates file C:\WINDOWS\SYSTEM32\z13.exe.
* Creates file cdegfr.
* Creates file C:\WINDOWS\SYSTEM32\z14.exe.
* Creates file wdcevf.
* Creates file C:\WINDOWS\SYSTEM32\z15.exe.
* Creates file wdcsadsad.
* Creates file C:\WINDOWS\SYSTEM32\z16.exe.

[ Changes to registry ]
* Creates key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System".
* Sets value "DisableTaskMgr"="1" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System".

[ Network services ]
* Opens URL: http://www.traff4ppc.biz/software/dial.exe.
* Opens URL: http://www.traff4ppc.biz/software/soft3.exe.
* Opens URL: http://www.traff4ppc.biz/software/tool.exe.
* Opens URL: http://www.traff4ppc.biz/software/soc.exe.
* Opens URL: http://www.traff4ppc.biz/software/res.exe.
* Opens URL: http://www.traff4ppc.biz/software/patch.exe.

[ Security issues ]
* Starting downloaded file - potential security problem. gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Delf.aco gefunden


Alt 23.01.2006, 19:33   #6
hoerni26
 
Re: need help - Standard

Re: need help



also ich bin der meinung das es am sichersten wäre dein system komplett neu aufzusetzen..
__________________
--> Re: need help

Alt 23.01.2006, 19:36   #7
Mr.Icetea
 
Re: need help - Standard

Re: need help



naja wie gesagt system neu aufsetzten ist momentan nicht möglich; muss noch ein wenig aushalten bis ich mir die software gesorgt habe;
welche einträge sind denn verseucht und müssen runter??

Alt 23.01.2006, 19:49   #8
Wildone
 
Re: need help - Standard

Re: need help



Hallo,
also da du einen Backdoor hast der Befehle von diesen seiten:
Opens URL: http://www.traff4ppc.biz/software/dial.exe.
* Opens URL: http://www.traff4ppc.biz/software/soft3.exe.
* Opens URL: http://www.traff4ppc.biz/software/tool.exe.
* Opens URL: http://www.traff4ppc.biz/software/soc.exe.
* Opens URL: http://www.traff4ppc.biz/software/res.exe.
* Opens URL: http://www.traff4ppc.biz/software/patch.exe.
entgegen nehmen will und zusätzlich auch noch Dateien in alle Himmelsrichtungen von deinem system streut, kann man von einer Kompromittierung ausgehen. Soetwas kann man nicht beseitigen und du solltest umgehend das System vom Netz nehmen, da du wahrscheinlich gerade andere ansteckst.
Zitat:
draufziehen hab aber nich wirklich zeit und keine aktuelle serial
Dann gehe in den Laden und kauf dir ein legales Betriebssystem oder freunde dich mit einer Linuxdistribution an.
Die weitere Malware hast du übrigens von Cracks die du auf deinem System installierst hast, warum soll ich eigentlich meine Zeit opfern dir dabei behilflich sein die Nebenwirkungen des Geldsparens zu beseitigen...



Grüße Wildone

Alt 23.01.2006, 20:05   #9
Mr.Icetea
 
Re: need help - Standard

Re: need help



ok das es so schlimm aussieht hab ich nicht geahnt; da werd ich wohl nicht drumrumkommen mir mal linux étwas genauer anzuschauen;

vielen danke auf jeden fall für die hilfe und geopferte zeit..

eine frage hätte ich noch; kann das am service pack 1 liegen? ich sitze hinter einem router und hab zusätzlich ne firewall laufen (kerio); cracks hab ich mir, abgesehen von heute morgen, schon ewig nicht mehr runtergeladen, also müssten die viren alle neu sein.

Alt 23.01.2006, 20:17   #10
Haui45
 
Re: need help - Standard

Re: need help



Nur nebenbei:
Das sagt Kaspersky resp. eScan zu den Dateien von den o.g. Adressen:
Zitat:
File C:\***\dial.exe infected by "Trojan-Downloader.Win32.Small.awa" Virus!
File C:\***\patch.exe infected by "Trojan-Dropper.Win32.Delf.pb" Virus! Action
File C:\***\res.exe infected by "Packed.Win32.Klone.b" Virus!
File C:\***\soc.exe infected by "Email-Worm.Win32.Locksky.z" Virus!
File C:\***\soft3.exe infected by "not-virus:Hoax.Win32.Renos.av" Virus!
File C:\***\tool.exe infected by "Trojan-Downloader.Win32.Small.cah" Virus!

Alt 23.01.2006, 20:18   #11
Wildone
 
Re: need help - Standard

Re: need help



Hallo,
ja klar kann das von dem nicht aktuellen Stand deines Systems liegen, mit dem SP2 sind Lücken gestopft worden, mit Hilfe derer sich Angreifer ohne dein zutun vollen Systemzugriff verschaffen können.
Deine Crackaktion heute, hat dann deinem System den Rest gegeben, da sind auch z.B. noch folgende Dateien auf dein System gekommen:
File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Delf.aco" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:42:07 2006 => File C:\WINDOWS\system32\kbek.dll infected by "Trojan.Win32.StartPage.ix" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:43:15 2006 => File C:\WINDOWS\system32\oleext.dll infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:44:49 2006 => File C:\WINDOWS\system32\wininet.dll infected by "Virus.Win32.Nsag.b" Virus! Action Taken: No Action Taken.
Mon Jan 23 15:45:40 2006 => File C:\WINDOWS\Temp\C.tmp.exe infected by "Trojan-Downloader.Win32.Small.ceg" Virus! Action Taken: No Action Taken.

Also, wie schon gesagt, gecrackte Betriebssysteme machen einfach keinen Sinn, erstens sind sie manchmal schon "von Werk aus" virenverseucht, und wenn nicht kann man sie nicht aktuell halten und sich somit vor aktuellen Viren schützen. Also entweder kaufen und richtig konfigurieren oder auf Alternativen setzen, sprich Linuxdistributionen.


Grüße Wildone

Alt 23.01.2006, 20:31   #12
Mr.Icetea
 
Re: need help - Standard

Re: need help



ok vielen dank nochmal für die mühe; werd ich mir zu herzen nehmen und wohl wieder meine alte home edition, die is wenigstens original, oder linux draufhaun.

schönen abend wünsche ich noch

Antwort

Themen zu Re: need help
adobe, antivir, bho, browser, c:\windows\temp, content.ie5, einstellungen, excel, firewall, fraud, gesperrt, helfen, help, hijack, hijackthis, infected, internet, internet explorer, log datei, logfile, pdf, programme, smitfraud, software, starten, suche, super, system, taskmanager, träge, vielen dank, virus, virus eingefangen, windows, windows\temp



Zum Thema Re: need help - guten abend, hatte mir heute morgen einen Virus eingefangen(auf astalavista.box.sk), und daraufhin avpersonal durchlaufen lassen (der hat trotz regelmäßiger scans tatsächlich 6 vireneinträge gefunden); der taskmanager läßt sich nicht mehr - Re: need help...
Archiv
Du betrachtest: Re: need help auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.