|
Trojan-Downloader.Bat.ftp.ab moinsen zusammen, ich werde den trojaner einfach nimmer los... hab kaspersky&sygate personal... eigendl bisher sehr gut und alles erkannt, hier streiken sie... kaspersky erkennt im system32 zwar gelegentlich eine datei "i" mit inhalt ip&get erasemeXXXXX.exe lösche ich diese, und mit der killbox die eraseme files, bringt das alles nix wenig später hab ich die files wieder im system32.im processmanager finde ich dann cmd.exe welche die ftp.exe aufruft und das spiel geht von neuem los. wo finde ich den befehl der die cmd.exe auslöst??? registry? im hijack is eigendl alles klar bis auf die zwei prozesse eben. removal tools fehlanzeige, und antivirus versagt.ich dreh echt noch durch. va hab ich durch diese hintergrundaktivitäten immer ping 200. ;) greetz bastian Logfile of HijackThis v1.99.1 Scan saved at 21:07:29, on 27.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Daemon\daemon.exe C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe C:\WINDOWS\System32\DrvMon.exe C:\Programme\TuneUp2004\memoptimizer.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\TuneUp2004\ProcessManager.exe C:\Dokumente und Einstellungen\zwoot\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = zwoot O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\KAV5\kav.exe /minimize O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp2004\memoptimizer.exe" autostart O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab ?1126687537375 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\KAV5\kavsvc.exe O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\SPF\smc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp2004\WinStylerThemeSvc.exe [edit] links entfernt [/edit] |
@zwoot lasse die beiden dateien C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe hier überprüfen http://virusscan.jotti.org/de/ und poste das ergebnis chaosman |
also der scan hat ergeben, keine viren gefunden... noch was, wenn ich beim neustart sofort den processmanager anschau, mein ich einmal kurz svchost(2).exe gelesen zu haben... was mich noch stresst: wenn die ftp.exe läuft, zeigt mir die sygate fw keinen traffic über ftp.exe an... beende ich sie, bleibt mein ping immernoch bei 200, d.h irgendwas wird wohl noch nachm beenden übertragen greetz bastian |
Was mich an Deinem Log stört: Logfile of HijackThis v1.99.1 Scan saved at 21:07:29, on 27.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Schon mal was von SP2 und regelmäßigen Updates gehört? Versuche mal eine Bereinigung damit: http://www.ewido.net/de/download/ Poste das Ergebnis. |
ok, ewido findet ein paar cookies mehr nicht... im system32 befinden sich jetz wieder folgende files: i 1kb (vom kaspersky als trojan-downloader...) eraseme_27322.exe 0kb eraseme_44550 0kb ftp.exe,nachdem ich sie umbenannt habe wieder da ftpupd.exe 0kb aktuell erstellt worden laut geändert am tftp.exe, die jetzt auch als gestarteter process vorkommt teskmangr.exe 0kb aktuell erstellt worden laut geändert am TFTP2312 aktuell erstellt worden laut geändert am TFTP3704 aktuell erstellt worden laut geändert am network.exe 0kb vor 1 woche erstellt die onlinescanner nehmen keine 0kb files... a² squared findet nix spybot findet nix ewido findet nix kaspersky findet nix sp2 hab ich nicht drauf, stimmt aber ich denke sämtliche anderen updates von microsoft greetz bastian |
@felix1, dies sind warscheinlich seine geringsten Probleme. Ich denke, er wird sich unter anderem den hier gefangen haben. Grund: C:\WINDOWS\System32\GEARSec.exe karaya |
omg volltreffer.... gearsec läuft... hatt mich gefragt was das soll dacht is irgendwas vom ghost wie bekomme ich den los? gut dass kaspersky diesmal garnix erkennt, bin total enttäuscht hat gearsec was zu tun mit den ftp.exe usw? |
Hallo, Moment, die gearsec kann auch ganz legitim sein und etwas mit der Brennersoftware zu tun haben. So wie ich die Virenbeschreibung verstehe müßte die gearsec auch als O4 und nicht als O23 Eintrag gestartet werden. Die ganz normale gearsec wäre das hier Grüße Wildone |
Hallo Wildone, wollte das auch gerade posten. :daumenhoc dartus |
Hallo zwoot, lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken). Lösche ebenfalls den Quaratäne-Ordener Deines Antivir-Programmes. Scanne dann Dein System mit Escan . Bitte erst aufmerkam lesen und dann scannen. Teile das Ergebnis mittels der "find.bat" mit. dartus |
Hallo, @dartus Escan wird wahrscheinlich wenig bringen wenn sein normales AV schon Kaspersky ist, und nichts findet, ein Versuch kann alerdings nicht schaden. @zwoot Also irgendwie habe ich bei deinem System ein ganz schlechtes Gefühl, läßt sich zwar bisher nicht belegen, aber irgendwas ist da hochgradig faul. Untersuche mal dein System mit Silentrunner und poste das Log. Und mache vielleicht nochmal zusätzlich einen Onlinescan bei Panda Und gleich mal vorsorglich gefragt, ich habe gesehen das du Norton Ghost auf deinem System hast, hast du ein sauberes Image gesichert? Grüße Wildone |
also, hab soeben ein image aufgespielt... leider sind die probleme auch da schon vorhanden. weiss jemand zu welchem trojaner diese dateien gehören? i,eraseme_XXXXX.exe,ftpupd.exe,network.exe,TFTPXXX, zum glück is diese komische teskmngr.exe nicht dabei... und im msconfig unter systemstart ist eine zeile komplett leer, nur der reg pfad currentversion/run dort finde ich aber lediglich normale dienste, bis auf bei standart steht beim wert garnichts... bei allen anderen standart schlüsseln aber immer wert nicht gesetzt... unter shell extensions(currentversion) finde ich ein key meltme, der die eraseme exe ausführt.... also ich probiers jetzt noch alle einträge von hand zu löschen und hoffen der trojaner schreibts nicht alles wieder rein... dazu müsst ich halt wissen was alles wichtig is und gelöscht werden muss...(siehe dateien oben , z.b.) hier noch die log "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "DrvMon.exe" = "C:\WINDOWS\System32\DrvMon.exe" ["Alcor Micro, Corp."] "TuneUp MemOptimizer" = ""C:\Programme\TuneUp2004\memoptimizer.exe" autostart" ["TuneUp Software GmbH"] "Steam" = ""d:\steam\steam.exe" -silent" ["Valve Corporation"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SmcService" = "C:\PROGRA~1\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."] "KAVPersonal50" = "C:\Programme\KAV5\kav.exe /minimize" ["Kaspersky Labs"] "CloneCDTray" = ""C:\Programme\CloneCD\CloneCDTray.exe" /s" ["SlySoft, Inc."] "DAEMON Tools-1033" = ""C:\Programme\Daemon\daemon.exe" -lang 1033" ["DAEMON'S HOME"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "(Default)" = (empty string) "Norton Ghost 9.0" = "C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ INFECTION WARNING! taskmgr.exe\Debugger = "C:\Programme\TuneUp2004\PMLauncher.exe" ["TuneUp Software GmbH"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\KAV5\shellex.dll" ["Kaspersky Labs"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {CLSID}\InProcServer32\(Default) = ""C:\Programme\TuneUp2004\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\KAV5\shellex.dll" ["Kaspersky Labs"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\Programme\ICQ\ICQ.exe" ["ICQ Inc."] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ Missing lines (compared with English-language version): HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."] GEARSecurity, GEARSecurity, "C:\WINDOWS\System32\GEARSec.exe" ["GEAR Software"] kavsvc, kavsvc, "C:\Programme\KAV5\kavsvc.exe" ["Kaspersky Labs"] Norton Ghost, Norton Ghost, "C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe" ["Symantec Corporation"] Sygate Personal Firewall, SmcService, "C:\Programme\SPF\smc.exe" ["Sygate Technologies, Inc."] WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 52 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 9 seconds. ---------- (total run time: 84 seconds) |
Hallo, überprüfe doch mal die besagten Dateien (i, eraseme....exe usw.) hier aber ich befürchte schlimmes, nämlich einen IRC/Sdbot, und das hieße, wenn du kein sauberes Image hast, das du dein komplettes System neu aufsetzen solltest. Grüße Wildone |
aaaalso: sieht so aus als wär ich geheilt hehe. hab die komplette registry durchgeklickt und da warn unter shellextensions einträge von wegen meltme & cmd.exe mit eraseme.exe alles gelöscht und die ganzen komischen files gekillt... seither keine komischen prozesse mehr laufen... wie würde sich der sd/irc bot bemerkbar machen? bzw wo finde ich einträge von dem? ansonsten danke für die vielen scannerlinks ;) greetz bastian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:37 Uhr. |
Copyright ©2000-2024, Trojaner-Board