Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Dropper DR/180Solutions

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.11.2004, 14:54   #1
Matti
 
Dropper DR/180Solutions - Standard

Dropper DR/180Solutions



Hallo allerorten
Ich habe den Dropper DR/180Solutions eingefangen und mit hijack eine Überprüfung gemacht. Jetzt habe ich eine logfile Liste mit de5r ich nichts anzufangen weiß. Kann mir jemand weiterhelfen? Eurer Matti

Logfile of HijackThis v1.98.2
Scan saved at 14:13:40, on 15.11.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\programme\180solutions\msbb.exe
C:\Programme\AVPersonal\AVSched32.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Dokumente und Einstellungen\Langner1\Startmenü\Programme\Zubehör\Unterhaltungsmedien\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\Msnmgs.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\WINNT\System32\MDM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Langner1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem302.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINNT\System32\apuc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [Messenger Upgrade] Msnmgs.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [aunicqb] C:\WINNT\System32\ajxfwk.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.exe /min
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Dokumente und Einstellungen\Langner1\Startmenü\Programme\Zubehör\Unterhaltungsmedien\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Messenger Upgrade] Msnmgs.exe
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Messenger Upgrade] Msnmgs.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E386992-6322-4DB0-A898-3679828FB860}: NameServer = 192.168.120.252,192.168.120.253

Alt 15.11.2004, 17:39   #2
Shadowdance
 
Dropper DR/180Solutions - Standard

Dropper DR/180Solutions



Hallo Matti,

Du hast einige Probleme auf dem System. Scanne Deinen Rechner mit dem eScan laut Anweisung (bitte gut durchlesen!). Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD
__________________


Alt 15.11.2004, 17:55   #3
Cidre
Administrator, a.D.
 
Dropper DR/180Solutions - Standard

Dropper DR/180Solutions



@ Matti

Die Spy- und Adware die sich auf dein System befindet ist wohl eher das kleinere Übel!
Viel schlimmer ist es, dass bereits Würmer mit Backdoor Funktionalität aktiv waren.
Zitat:
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
W32.Spybot.CYM
Zitat:
O4 - HKCU\..\Run: [Messenger Upgrade] Msnmgs.exe
Dürfte sich ebenso um einen Wurm aus der bot Familie handeln.

Daher lautet meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Das ist der Grund für die Kompromittierung, dein nicht gepatchtes System!
__________________
__________________

Alt 16.11.2004, 00:50   #4
Matti
 
Dropper DR/180Solutions - Standard

Dropper DR/180Solutions



Zitat:
Zitat von Shadowdance
Hallo Matti,

Du hast einige Probleme auf dem System. Scanne Deinen Rechner mit dem eScan laut Anweisung (bitte gut durchlesen!). Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD
Danke Shadowdance und auch danke an Cidre(prost)
Ich habe mit escan geprüft und eine Menge Müll zum Vorschein gefördert.
Für den besseren Überblick habe ich die files nummeriert.
Gelöscht, d.h. in den Papierkorb verschoben (reicht das?), habe ich folgende:
C:\WINNT\system32\Msnmgs.exe (Nummern 6,11,29)
C:\WINNT\System32\TFTP956 (Nummern 13,32)
C:\Programme\180Solutions (kompletten Ordner Nummern 20,21)
C:\Programme\Windows Update (kompletten Ordner Nummern 22,23,24)
Alle anderen gekennzeichnet als "tagged as not a virus" habe ich noch nicht gelöscht. Sollte man das trotzdem tun oder gibt es andere Verhaltensweisen? Zusatzfrage: Da ich AntiVir habe und das nicht auszureichen scheint, frage ich Dich, ob es vielleicht ein wirksameres Virenabwehrprogramm gibt.
Vielen Dank für die Hilfe. Ich bin das erste Mal in solch einem Forum und finde die solidarische Hilfe großartig.
Matti

1 File C:\WINNT\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
2 File C:\WINNT\System32\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
3 File C:\WINNT\System32\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
4 File C:\WINNT\System32\apuc.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
5 File c:\programme\180solutions\msbb.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
6 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
7 File C:\WINNT\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
8 File C:\WINNT\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
9 File C:\WINNT\System32\apuc.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
10 File C:\WINNT\System32\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
11 File C:\WINNT\System32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
12 File C:\WINNT\System32\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
13 File C:\WINNT\System32\TFTP956 infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.
14 File C:\Dokumente und Einstellungen\Langner1\Eigene Dateien\Lengner\aaw.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
15 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\bb.exe tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
16 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\localNrd.cab tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
17 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
18 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\THI66E4.tmp\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
19 File C:\Dokumente und Einstellungen\Langner1\Lokale Einstellungen\Temp\THI66E4.tmp\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
20 File C:\Programme\180Solutions\msbb.exe tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
21 File C:\Programme\180Solutions\msbbhook.dll tagged as not-a-virus:AdWare.180Solutions. No Action Taken.
22 File C:\Programme\Windows Update\download.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
23 File C:\Programme\Windows Update\prijsvragen.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
24 File C:\Programme\Windows Update\s.exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
25 File C:\WINNT\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.
26 File C:\WINNT\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
27 File C:\WINNT\system32\apuc.dll tagged as not-a-virus:AdWare.BargainBuddy.j. No Action Taken.
28 File C:\WINNT\system32\mscb.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
29 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
30 File C:\WINNT\system32\nvms.dll tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.
31 File C:\WINNT\system32\TFTP956 infected by "Trojan.Win32.Pakes" Virus. Action Taken: No Action Taken.

Alt 16.11.2004, 01:11   #5
Lidius
 
Dropper DR/180Solutions - Standard

Dropper DR/180Solutions



Das sieht leider nicht gut aus. Grade der Trojaner aus der Rbot Familie ist sehr gefährlich. Meine Empfehlung:
http://www.trojaner-board.de/showpos...28&postcount=2


Alt 16.11.2004, 01:25   #6
Shadowdance
 
Dropper DR/180Solutions - Standard

Dropper DR/180Solutions



Hallo Matti,


tut mir leid, ich kann Dir auch keinen besseren Rat geben als Lidius.

Zitat:
Zitat von Matti
6 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
11 File C:\WINNT\System32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
29 File C:\WINNT\system32\Msnmgs.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.

Backdoor.Win32.Rbot.gen ermöglicht Dritten Fernzugriff auf Deinen Rechner.

Du musst davon ausgehen, dass alles was auf Deinem Rechner geschieht, ausspioniert wird. Würmer mit Backdoor-Charakter hinterlassen Schlüssel in der Registry und Code auf dem System. Die einzig sichere Lösung lautet daher: Formatieren+Neuaufsetzen


Zitat:
Zitat von MountainKing
[..] Zudem musst du UNBEDINGT dein Surfverhalten überdenken (da du offenbar auch regelmäßig Viren bekommst) und alle Passworte ändern. Nach der Neuinstallation solltest du als erstes Windowsupdate besuchen und alle Patches installieren, danach auf deinen alternativen Browser (firefox, mozilla, opera) umsteigen und den IE nur noch zum Windowsupdate benutzen, den den Internetoptionen bzw. in den Browsern selbst aktive Inhalte (Java-Script, VBS, Active-X) deaktivieren. Nicht jede angepriesene Shareware installieren, vorher im Netz informieren, ob sie eventuell Spyware enthält, keine mailanhänge öffnen, bei denen du nicht 100%ig sicher bist, dass sie wirklich in ordnung sind. Ein Virenscanner kann nicht schaden (AntivirPE ist für einen kostenlosen Scanner ok), ist aber keinesfalls ein 100%iger Schutz, genausowenig wie alle andere Schutzsoftware.

Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.
---> bitte beachten: Cidre's Rat und Lutz: Datensicherung

Festplatte formatieren - Schritt für Schritt

SD

Antwort

Themen zu Dropper DR/180Solutions
.dll, .inf, adobe, bho, dateien, drivers, dropper, einstellungen, explorer, file missing, firefox, hijack, hijackthis, internet, internet explorer, logfile, messenger, microsoft, monitor, mozilla, mozilla firefox, programme, software, solution, symantec, system, system32, tcpip, temp, update, urlsearchhook, windows



Ähnliche Themen: Dropper DR/180Solutions


  1. Dropper DR/180Solutions - mal wieder !!!!
    Log-Analyse und Auswertung - 28.10.2005 (1)
  2. Trojaner DR/180Solutions.B
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (6)
  3. HILFE!! dropper DR/180Solutions
    Log-Analyse und Auswertung - 13.03.2005 (2)
  4. Meldung von Dropper DR/180Solutions by AntiVir
    Log-Analyse und Auswertung - 02.03.2005 (7)
  5. HILFE!!DR/180Solutions bzw. PMS/180Solutions.A
    Log-Analyse und Auswertung - 27.02.2005 (1)
  6. DR/180Solutions
    Log-Analyse und Auswertung - 27.02.2005 (11)
  7. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (5)
  8. Hilfe!!! Dropper DR/180solutions - hijack logfile
    Log-Analyse und Auswertung - 18.01.2005 (4)
  9. DR/180solutions
    Log-Analyse und Auswertung - 15.01.2005 (7)
  10. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 08.01.2005 (1)
  11. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (14)
  12. HiJackThis-Log bitte überprüfen - brauche Hilfe, Dropper DR/180Solutions
    Log-Analyse und Auswertung - 07.12.2004 (3)
  13. DR/180solutions !!!HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  14. dr/180solutions dropper please help me...
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (3)
  15. dr/180solutions please help me...
    Log-Analyse und Auswertung - 17.11.2004 (3)
  16. Hilfe! DR 180Solutions
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (1)
  17. 180solutions, net.com etc. entfernt ?
    Log-Analyse und Auswertung - 26.10.2004 (1)

Zum Thema Dropper DR/180Solutions - Hallo allerorten Ich habe den Dropper DR/180Solutions eingefangen und mit hijack eine Überprüfung gemacht. Jetzt habe ich eine logfile Liste mit de5r ich nichts anzufangen weiß. Kann mir jemand weiterhelfen? - Dropper DR/180Solutions...
Archiv
Du betrachtest: Dropper DR/180Solutions auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.