|
Massiver Trojaner-Befall-Hij-Log Hallo alle zusammen, schön, dass es solch ein Forum mit sicherlich vielen Experten im Hinter- und Vordergrund gibt! Vergangene Woche schlug AV- Personal während einer Session massiv an, diverse Säuberungen brachten u.a. Dldr.Agent.GL,TR/Dldr.Agent.EA,TR/Dldr.Agent.IG.3 zu Tage. Nun habe ich erstmals Hijack eingesetzt; vielleicht kann mir bei der Auswertung folgenden Logfiles jemand helfen: Logfile of HijackThis v1.99.0 Scan saved at 08:50:21, on 12.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\BRMFRSMG.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE F:\Programme\iCounter\iCounter.exe C:\WINDOWS\System32\LVComS.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\AVPersonal\AVGUARD.EXE L:\Programme\HJ\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ O1 - Hosts: 127.0.0.3 nylonsexy.com O1 - Hosts: 127.0.0.3 www.nylonsexy.com O1 - Hosts: 127.0.0.3 vparivalka.com O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O1 - Hosts: 127.0.0.3 www.awmcash.biz O1 - Hosts: 127.0.0.3 awmcash.biz O1 - Hosts: 127.0.0.3 buldog-stats.com O1 - Hosts: 127.0.0.3 www.buldog-stats.com O1 - Hosts: 127.0.0.3 fregat.drocherway.com O1 - Hosts: 127.0.0.3 slutmania.biz O1 - Hosts: 127.0.0.3 www.slutmania.biz O1 - Hosts: 127.0.0.3 toolbarpartner.com O1 - Hosts: 127.0.0.3 www.toolbarpartner.com O1 - Hosts: 127.0.0.3 www.megapornix.com O1 - Hosts: 127.0.0.3 megapornix.com O1 - Hosts: 127.0.0.3 www.sp2fucked.biz O1 - Hosts: 127.0.0.3 sp2fucked.biz O1 - Hosts: http://213.159.117.133/dkprogs/hosts.txt O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {D6A20CD8-507D-817A-479A-3E06D4B56522} - C:\WINDOWS\System32\xibifuk.dll O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [iCounter] F:\Programme\iCounter\iCounter.exe /AUTOSTART O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - H:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: LEO Dictionary - C:\WINDOWS\Web\DE_EN.htm O8 - Extra context menu item: Mit Net Transport herunterladen - H:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://L:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: concept/design's onlineTV - {11F97A0F-B1C6-4560-9209-BAD87A77BF08} - F:\Programme\onlineTV\onlineTV.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: YExplorer1_8US.CAB - http://photos.groups.yahoo.com/ocx/us/yexplorer1_8us.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Die ersten Einträge betreffen wohl nur die hosts.sam, kannn ich die Einträge bedenkenlos löschen? Danke vorab für die Analyse! Gruß Michael |
Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe mit HijackThis alle: O1 Einträge O2 - BHO: (no name) - {D6A20CD8-507D-817A-479A-3E06D4B56522} - C:\WINDOWS\System32\xibifuk.dll O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - (no file) Lösche manuell C:\WINDOWS\System32\xibifuk.dll Mach dann noch einen escan ebenfalls im abgesicherten Modus nach dieser Anleitung: http://www.trojaner-board.de/42731-escan-anleitung.html Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Gruss |
Hallo HerrKautz, vielen Dank für die schnelle Antwort! Ich habe alle Tipps entsprechend durchgeführt; es wurde zum Glück nur noch ein Trojaner gefunden: Sun Feb 13 15:57:19 2005 => File C:\WINDOWS\System32\tuwiviwa.dll infected by "Trojan-Spy.Win32.Briss.n" Virus. Action Taken: No Action Taken. Wie kriege ich den nun los? Die dll einfach im abgesicherten Modus löschen? Es scheint mir keine XP- relevante Datei zu sein.... Gruß und danke wieder vorab Mike |
Hallo, ja,kannst die Datei manuell löschen im abgesicherten Modus,allerdings kann das Teil so einiges siehe dazu auch http://www.sophos.de/virusinfo/analy...ojbankaza.html es wäre meiner Meinung nach besser,wenn du das System neu aufsetzt,das musst du aber entscheiden,wenn du das machen willst geh bitte so vor: http://trojaner-board.de/showthread.php?t=12154 Ansonsten poste noch ein neues Logfile! Gruss |
Hallo nochmal, schönen Dank! Ich habe die dll einfach umbenannt, war im real-mode möglich, also nicht geladen. AV- Personal hat die dll im übrigen als o.k. eingestuft...?!? Im Netz war über diese spezifische dll nichts zu erfahren, ich lasse das System im Moment so wie es ist. Nochmals vielen Dank für die schnelle und kompetente Hilfe! Gruß Mike |
@Mike2002 du könntest wenigstens dein system und IE updaten Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) ist völlig veraltet schließe mich HerrKautz an, ich würde neu aufsetzen chaosman |
@Chaosman ..auch an dich vielen Dank für die Hinweise; bedauerlicherweise lässt sich weder XP noch der IE updaten....die Gründe dafür wisst ihr sicherlich... :) Die Maschine wird eh nur noch bis April im Netz genutzt und geht dann (neu aufgesetzt) als FTP- Server ins Rennen. Also, nochmals merci an alle! Mike |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr. |
Copyright ©2000-2024, Trojaner-Board