Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PSW.Briss.C Trojaner (https://www.trojaner-board.de/16802-psw-briss-c-trojaner.html)

lebenslanggruenweiss 18.04.2005 15:26
PSW.Briss.C Trojaner
 
Ich habe den PSW.Briss.C Trojaner in meinem Temporary Internet Files Ordner entdeckt und kann ihn weder mit AVG noch manuell im Abgesicherten Modus löschen. Das Problem ist, dass AVG die Datei (Endung: \bridge[2].cab:\bridge.dll) zwar entdeckt hat, ich ihn dort aber nicht finden kann obwohl ich versteckte und Systemdateien anzeigen lasse. komisch oder!? Hier der Hijack This log:

Logfile of HijackThis v1.99.1
Scan saved at 16:22:07, on 18.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\windows\erxs.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Dokumente und Einstellungen\THOMAS KIENHÖFER\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [PmProxy] C:\Programme\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DPA] c:\windows\erxs.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted IP range: 66.230.143.209
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113658940999
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

dartus 18.04.2005 16:24
Hallo lebenslanggruenweiss,

nimm eine Datenträgerbereinigung vor:
Start-->ausführen-->cleanmgr
Lösche die Temporary Internet Files und alle Offlineinhalte

Desweiteren lass folgende Datei:
C:\windows\erxs.exe
Hier online scannen:
http://virusscan.jotti.org/de
Teile das Ergebnis mit.

Update Dein System auf SP 2! Wichtig!

dartus

lebenslanggruenweiss 18.04.2005 20:36
Hi Dartus. Hier das ergebnis von dem jotti scan:

Datei: erxs.exe
Status:
VIELLEICHT INFIZIERT/MALWARE (Anmerkung: Diese Datei wurde lediglich durch die heuristische Detektion als Malware angezeigt. Die Ergebnisse des Scans werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

chaosman 18.04.2005 20:38
@lebenslanggruenweiss

lasse erxs.exe
hier bitte überprüfen
www.malwareupload.com
die haben dort mehrere möglichkeiten zum prüfen

chaosman

lebenslanggruenweiss 18.04.2005 21:23
Konnte das Servicepack 2 nicht installieren. Gegen Ende der Installation kam die Meldung "Interner Fehler ist aufgetreten". Hab die Datei bei malwareupload.com hochgeladen. Ist aber noch nicht bearbeitet.


Zitat:
Zitat von chaosman
@lebenslanggruenweiss

lasse erxs.exe
hier bitte überprüfen
www.malwareupload.com
die haben dort mehrere möglichkeiten zum prüfen

chaosman

dartus 18.04.2005 21:33
Hallo,

downloade Dir SP 2 als Datei :
http://download.winboard.org/downloa...release_id=680
oder
http://www.microsoft.com/downloads/T...displayLang=de
und hier alle SP 2 Updates:
http://download.winboard.org/downloads.php?ordner_id=70

Brenn die Datei auf CD für alle Fälle.

dartus

lebenslanggruenweiss 19.04.2005 17:41
Zitat:
Zitat von dartus
Hallo,

downloade Dir SP 2 als Datei :
http://download.winboard.org/downloa...release_id=680
oder
http://www.microsoft.com/downloads/T...displayLang=de
und hier alle SP 2 Updates:
http://download.winboard.org/downloads.php?ordner_id=70

Brenn die Datei auf CD für alle Fälle.

dartus
Hat nichts gebracht. Er sagt mir wieder während der Installation "Ein interner fehler ist aufgetreten". Dann ist Ende.

Trojaner ist immernoch drauf. Öffnet nach dem Start von XP immer irgendeine Page mit dem IE.

lebenslanggruenweiss 19.04.2005 17:44
malwareupload.com sagt mir zur erxs.exe:

"noch völlig unbekannte malware, die sich zu einer webseite verbinden möchte die nicht mehr existiert"


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54