Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein Log;habe wohl was gefangen! (https://www.trojaner-board.de/10171-log-habe-wohl-gefangen.html)

policeman0908 28.11.2004 14:59
Mein Log;habe wohl was gefangen!
 
Hallo,

könnte sich mal jemand mein Log ansehen,ich denke ich habe mir was gefangen!

Logfile of HijackThis v1.98.2
Scan saved at 14:54:40, on 28.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WTASKMON.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Toso\LOKALE~1\Temp\Rar$EX01.986\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WTASKMON] C:\WINDOWS\WTASKMON.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154card.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094149730573
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D091270C-E58B-4C7B-8511-8E8BE1F42443}: NameServer = 192.168.0.1



Danke! :)

steveman 28.11.2004 15:41
Hallo,

das fixen:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

Shadowdance 28.11.2004 19:26
@ policeman0908

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\WTASKMON.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe

teile uns das Ergebnis der Überprüfung mit.

SD

policeman0908 28.11.2004 20:26
@ SD

Nun bin ich etwas geschockt

Zu der Taskmonexe:

Service load: 0% 100%

File: WTASKMON.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: None

AntiVir Heuristic/Backdoor.VB6 (probable variant) (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.35 seconds taken)
Dr.Web BACKDOOR.Trojan (probable variant) (0.52 seconds taken)
F-Prot Antivirus No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus No viruses found (0.60 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.41 seconds taken)
Norman Virus Control No viruses found (0.40 seconds taken)


Ich habe heute Mittag bereits escan nach Anleitung im abgesichertem Modus laufen lassen,System war zu 100% sauber,nichts gefunden!

Ach,die C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe

ist OK

Shadowdance 28.11.2004 20:39
@ policeman0908

sende bitte diese Datei

C:\WINDOWS\WTASKMON.exe

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken und warte das Ergebnis ab.

SD

Passat2002 28.11.2004 20:53
hi
escan arbeitet mit der vdf von --> (soweit ich mich erinnere) Kaspersky ;)

policeman0908 28.11.2004 20:56
@ SD vielen Dank schonmal!

Die Datei sieht auch nicht sonderlich erfreulich aus,eine Art Totenkopf?!

Habe sie an beide Adressen als rar mit PW gesendet!

Soll ich den Prozess beenden,kann ich das Teil löschen,oder soll ich lieber
abwarten?

Seltsam das Kaspersky und Trendmicro da nichts melden!

Shadowdance 28.11.2004 20:56
Servus Passat2002,

Du erinnerst Dich richtig. Habe ich etwas übersehen oder was meinst Du?

[edit] Warte das Ergebnis der Überprüfung ab @ policeman0908 ... entweder es handelt sich um neue Malware oder die Datei ist ok. [/edit]

SD

policeman0908 28.11.2004 21:10
Hab mal unter Eigenschaften der Datei geschaut!

Original Dateiname :dabot.exe

Cidre 28.11.2004 22:01
Mal sehen was die Überprüfung der dabot.exe hergibt, siehe auch http://reviews.speedbit.com/ReadRevi...exe&FileSize=&

policeman0908 28.11.2004 22:50
Also ich habe das Teil jetzt im abgesicherten Modus gefixed,sehr nett sah die Datei nicht aus,und ich denke die hatte da auch nix zu suchen!

Zur Sicherheit werde ich diese Woche noch mein System neu aufsetzen,ist mir doch zu gewagt! :pukeface:

policeman0908 29.11.2004 17:17
Hallo,

@SD,

ich denke mal,dass die email von Dir kam?!

Falls nicht,danke trotzdem nochmal,die Datei WTASKMON.exe ist also
sauber,habe sie auch wieder dort plaziert,ich denke ich kann nun
auf das neu Aufsetzen verzichten!


Danke nochmal an alle für die Hilfe!Daumen hoch! :daumenhoc

Shadowdance 30.11.2004 20:19
@ policeman0908,

von mir kam die email nicht, da ich keine Dateien auf Viren untersuche .. aber ich reiche Dein Dankeschön hiermit weiter ..;-)

Und für Dich noch ein bißchen Lesestoff:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

policeman0908 13.12.2004 18:22
Hallo nochmal!

Wegen der WTASKMON.exe

Hierbei handelt es sich doch nicht wie angenommen,und mir per Mail berichtet wurde um einen Windows Dienst,sondern ist ein Backdoor! :heulen:

Nun heisst es doch platt machen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131