Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Dldr.Agent.TV9 (https://www.trojaner-board.de/23630-tr-dldr-agent-tv9.html)

Dom 14.11.2005 16:19
TR/Dldr.Agent.TV9
 
Habe folgenden Trojaner und bekomme ihn nicht in den Griff!!
TR/Dldr.Agent.TV9

Habe einen Logfile gemacht, vielleicht kennt sich jemand damit aus! Das einzige was mir komisch vorkommt ist das was ich rot markiert hab.
"I downloaded pirated Software from P2P and now I post my Hijack log whining] E:\WINDOWS\System32\Serious Sam 2 crack.exe"

Ich habe keine Ahnung was p2p sein soll und dieses Serious find ich nicht unter System32.
Mein Sohn weiss auch nicht, was das ist, aber ich gehe mal davon aus, dass er diesen Trojaner eingeschleppt hat, da ich nicht viel im Internet unterwegs bin.
Ich habe den gleichen Thread unten schon mal geschrieben, allerdings hat mir dann keiner mehr weitergeholfen nachdem ich den Log gepostet habe. Ich hoffe jemand nimmt sich der Sache an, da ich sonst wohl die Festplatte formatieren muss.

Gruß Dominik

Logfile of HijackThis v1.99.1
Scan saved at 16:17:14, on 13.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Ahead\InCD\InCDsrv.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\PGPserv.exe
E:\WINDOWS\System32\wdfmgr.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\System32\sstray.exe
E:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Programme\T-DSL SpeedManager\SpeedMgr.exe
E:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\D-Tools\daemon.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
E:\Programme\Ahead\InCD\InCD.exe
E:\CloneCD\CloneCDTray.exe
E:\WINDOWS\etb\pokapoka65.exe
E:\Programme\Logitech\Profiler\lwemon.exe
E:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
E:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
E:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Dokumente und Einstellungen\MyName\Startmenü\Programme\Autostart \winampa.exe
E:\Programme\T-DSL SpeedManager\tsmsvc.exe
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Dokumente und Einstellungen\MyName\Desktop\hjck\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = file://e:\windows\zproxy.pac
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Microsoft Office] lserv.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSChoEx] suge.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Camera Detector] E:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Wise-FTP Scheduler] E:\Programme\AceBIT\Wise-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [Z-anonPP] E:\Programme\z-anonpp\zanonPP.EXE
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [RemoteControl] "E:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Windows update] E:\WINDOWS\System32\wudupdate.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log whining] E:\WINDOWS\System32\Serious Sam 2 crack.exe
O4 - HKLM\..\Run: [System service65] E:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Microsoft Office] lserv.exe
O4 - HKLM\..\RunServices: [MSChoEx] suge.exe
O4 - HKLM\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\Run: [MSChoEx] suge.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "E:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ares] "E:\Programme\Ares Lite Edition\Ares.exe" -h
O4 - HKCU\..\Run: [PowerBar] "E:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\RunServices: [MS FIREWALL] msfirewall.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: winampa.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PGPtray.lnk = ?
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .mpeg: E:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - h**p://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126473698453
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - E:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - E:\WINDOWS\System32\PGPserv.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - E:\DOKUME~1\MyName\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

Haui45 14.11.2005 18:04
Leider befinden sich auf dem System u.a. die folgenden Schädlinge:
http://castlecops.com/s5723-MS_FIREWALL.html
http://www.sophos.com/virusinfo/anal...32rbotant.html


Da es sich dabei um gefährliche Netzwerkwürmer handelt, die einem Angreifer uneingeschränkten Zugriff auf den PC ermöglichen [1], ist das System als kompromittiert anzusehen und sollte von dir neu aufgesetzt werden.


[1]
Zitat:
Backdoor Functionality

Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

Once the victim's computer is under control, the overseer is able to instruct Win32.Rbot.H to attempt to perform malicious operations such as spreading via administrative shares with weak passwords or the DCOM RPC exploit. The backdoor can also be instructed to:

* download and execute files from the Internet
* retrieve system information such as Operating System details
* retrieve CD keys for certain computer games, if present
* start a SOCKS proxy
* perform denial of service (DoS) attacks
* start several other servers: rlogin, http, tftp. The ports used for these are configurable.
* log keystrokes
* capture video from a webcam, if present
* send e-mail
Quelle

Dom 14.11.2005 20:24
Das ist leider nicht die Art von Antwort die ich mir gewünscht habe. Habe es mir aber schon fast gedacht, dass ich alles platt machen muss! Trotzdem danke ich dir recht herzlich für die schnelle und kompetente Antwort!

Gruß Dominik


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131