Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Generic Bot H +Trojan Agent+Backdoor IRC Bot

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.05.2010, 21:10   #1
Eastside
 
Generic Bot H +Trojan Agent+Backdoor IRC Bot - Standard

Generic Bot H +Trojan Agent+Backdoor IRC Bot



Hallo Leute,

unser gesamtes Netzwerk hat es irgendwie zerlegt.
4 befallene Rechner.
Ich poste mal die Daten vom ersten Rechner und sobald der wieder sauber ist kommen die anderen dran.

Malwarebytes sagt folgendes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4104

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.05.2010 21:09:23
mbam-log-2010-05-15 (21-09-23).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 170655
Laufzeit: 11 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> No action taken.

Infizierte Dateien:
c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe (Generic.Bot.H) -> No action taken.
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> No action taken.


Hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:06:33, on 15.05.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\bmwebcfg.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINNT\Explorer.EXE
C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\WINNT\stsystra.exe
C:\WINNT\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\VPOINT~1\SUservice.exe
C:\PROGRA~1\VPOINT~1\SCsrvc.exe
C:\WINNT\system32\dllhost.exe
C:\WINNT\system32\floplock.exe
C:\WINNT\system32\Srvany.exe
C:\Programme\SAP\SAPGUI\saplpd\saplpd.exe
C:\WINNT\system32\dllhost.exe
C:\WINNT\System32\svchost.exe
c:\progra~1\gemein~1\instal~1\update~1\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Juliane\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = hxxp://efproxy:80
O1 - Hosts: 172.16.10.200 rmacc # SAP
O1 - Hosts: 172.16.10.201 rm rm6001 # RM6001
O1 - Hosts: 172.16.10.202 rm2 rm6002 # RM6002
O1 - Hosts: 172.16.10.203 rm3 rm3a nsrhost # Zugriff auf Networker
O1 - Hosts: 172.16.10.205 efkauz # Kauz NT-Server
O1 - Hosts: 172.16.10.206 speedy1 # 301-Server
O1 - Hosts: 172.16.10.207 efappli1 # Applikationsserver
O1 - Hosts: 172.16.10.208 effs1 # Fileserver 1 - NT Server IBM 5500
O1 - Hosts: 172.16.10.215 efsvfs1 # Fileserver 2 - W2K Server
O1 - Hosts: 172.16.80.233 efproxy # backbone1-2 virtuelle adresse
O1 - Hosts: 172.16.80.236 efmail # interner Mail Server
O1 - Hosts: 172.16.80.237 efinfo # interner WWW - Server
O1 - Hosts: 172.16.80.242 efinst # O: NT-Server Installation
O1 - Hosts: 172.16.207.186 EFNB101 # eigene IP - Adresse fuer SAPLPD
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptcl.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Programme\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINNT\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O14 - IERESET.INF: START_PAGE_URL=www
O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - hxxp://intranet.helios-kliniken.de/portal/Portal/resources/msddsc.cab
O16 - DPF: {A7B17C34-D894-11D3-AE37-0050DA39FE5C} (WebClientInstall Class) - hxxp://194.174.126.33/cabs/WebClientInstall.cab
O16 - DPF: {A8B3A7FE-9C8D-4F15-9B01-8805BDF43B1B} (AMI Pictorial Control CWeb 2.1 SPa06) - hxxp://pacsweb2.erfurt.helios-kliniken.de/ami/install/amiviewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = erfurt.helios-kliniken.de
O17 - HKLM\Software\..\Telephony: DomainName = erfurt.helios-kliniken.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = erfurt.helios-kliniken.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = erfurt.helios-kliniken.de
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll,wxvault.dll
O20 - Winlogon Notify: evc - EvcLogon.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINNT\system32\bmwebcfg.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NetInstall Service (NIAIServ) - enteo Software GmbH - C:\Programme\NetInst\NiAiServ.exe
O23 - Service: NetInstall Executive (NiExServ) - enteo Software GmbH - C:\Programme\NetInst\NiExServ.exe
O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: NTRU TSS v1.2.1.12 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
O23 - Service: VCON MXMSU Service - Unknown owner - C:\PROGRA~1\VPOINT~1\SUservice.exe
O23 - Service: VCSecureConfig - Unknown owner - C:\PROGRA~1\VPOINT~1\SCsrvc.exe
O23 - Service: _ke_diskettensperre - Unknown owner - C:\WINNT\system32\floplock.exe
O23 - Service: _ke_edvhilfe - Olivetti & Oracle Research Lab - C:\WINNT\system32\WinVNC.exe
O23 - Service: _ke_SAP saplpd (_ke_saplpd) - Unknown owner - C:\WINNT\system32\Srvany.exe

--
End of file - 9068 bytes


gleich formatieren oder andere Ideen ?

Alt 17.05.2010, 17:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Generic Bot H +Trojan Agent+Backdoor IRC Bot - Standard

Generic Bot H +Trojan Agent+Backdoor IRC Bot



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 17.05.2010, 19:36   #3
KarlKarl
/// Helfer-Team
 
Generic Bot H +Trojan Agent+Backdoor IRC Bot - Standard

Generic Bot H +Trojan Agent+Backdoor IRC Bot



Werden auf dem Rechner Patientendaten gespeichert und/oder verarbeitet?
Zitat:
Domain = erfurt.helios-kliniken.de
__________________

Alt 24.05.2010, 16:37   #4
Eastside
 
Generic Bot H +Trojan Agent+Backdoor IRC Bot - Standard

Generic Bot H +Trojan Agent+Backdoor IRC Bot



Hallo,

problem wurde gelöst. Hat sich fachkundiges Personal drum gekümmert.
Patientendaten befinden/befanden sich nicht auf dem Rechner. Aber dank dem Hinweis haben sich die dortigen Techniker sofort fieberhaft drum gekümmert.

Danke nochmal.

Kann somit geschlossen werden

Antwort

Themen zu Generic Bot H +Trojan Agent+Backdoor IRC Bot
adobe, agent, backdoor, backdoor irc, backdoor irc bot, backdoor.ircbot, bho, bot, browseui preloader, checkpoint, components, dateien, desktop.ini, einstellungen, excel, explorer, fileserver, formatieren, generic, generic.bot.h, hkus\s-1-5-18, irc bot, messenger, microsoft, netzwerk, programme, setup, software, system, system32, trojan, trojan agent, trojan.agent, virusscan, windows xp, winsock



Ähnliche Themen: Generic Bot H +Trojan Agent+Backdoor IRC Bot


  1. Trojan.GenericKD.2269178 (B) + Trojan.Generic.13051484 (B) + Trojan.Generic.12905642 (B)
    Log-Analyse und Auswertung - 10.04.2015 (12)
  2. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  3. Trojan.Agent und Backdoor.Agent eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.11.2013 (18)
  4. Backdoor Trojan Generic und laut malwarebyte noch einiges anderes
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (18)
  5. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  6. neue INfektion: Trojan.Banker, Backdoor.Agent
    Log-Analyse und Auswertung - 12.08.2012 (3)
  7. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  8. Trojan.Agent und Backdoor.Bot befall auf meinem Laptop
    Log-Analyse und Auswertung - 11.11.2011 (28)
  9. G Data Total Care findet Win32:Malware-gen; Trojan.Generic.4880128; Java:Agent-CU[Expl]
    Plagegeister aller Art und deren Bekämpfung - 12.02.2011 (7)
  10. Verschiedene Trojaner machen ne Party bei mir: Dropper.gen trojan.agent und backdoor.gen
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (33)
  11. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  12. Trojan.Agent und Backdoor.bot
    Plagegeister aller Art und deren Bekämpfung - 06.02.2010 (74)
  13. Trojan.Agent (evtl. Trojan.Generic)
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  14. Backdoor.Win32.Shark und Trojan.Agent.IRC
    Log-Analyse und Auswertung - 30.09.2009 (42)
  15. Sauber oder nicht (Trojan.Generic/Backdoor.Win32.Agent.afqs)
    Plagegeister aller Art und deren Bekämpfung - 21.04.2009 (0)
  16. Trojan.Agent.AIVO sowie Backdoor.Bot4120 befall bei mir bitte Hilfe
    Plagegeister aller Art und deren Bekämpfung - 27.06.2008 (13)
  17. Trojan horse BackDoor.Agent.BA -- sqlp.dll
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (2)

Zum Thema Generic Bot H +Trojan Agent+Backdoor IRC Bot - Hallo Leute, unser gesamtes Netzwerk hat es irgendwie zerlegt. 4 befallene Rechner. Ich poste mal die Daten vom ersten Rechner und sobald der wieder sauber ist kommen die anderen dran. - Generic Bot H +Trojan Agent+Backdoor IRC Bot...
Archiv
Du betrachtest: Generic Bot H +Trojan Agent+Backdoor IRC Bot auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.