Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ist er jetzt claen? Qoologic Pakes (https://www.trojaner-board.de/24720-claen-qoologic-pakes.html)

drsteiner 20.12.2005 11:29
ist er jetzt claen? Qoologic Pakes
 
Hallo
Gestern hat mein AntivirGuard sich jede Minute Gemeldet:
19.12.2005,23:23:31 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\WPKCAK.EXE
Das hat mich nach etwa 50 mal so genervt das ich eine Textdatei erstellt Habe diese in den Pfad C:\WINDOWS\SYSTEM32 kopiert und WPKCAK.EXE genannt- und auf schreibgeschützt gesetzt habe. Das hat erstmal geholfen doch dann kamen neue Meldungungen diesmal in einem Pfad auf den ich kein zugriff bekomme:
20.12.2005,00:14:36 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0081790.EXE
[INFO] Die Datei wurde gelöscht!
20.12.2005,00:16:32 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0081794.EXE
[INFO] Die Datei wurde gelöscht!
20.12.2005,00:16:36 [WARNUNG] Ist das Trojanische Pferd TR/Click.VB.KJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0081795.EXE
[INFO] Die Datei wurde gelöscht!
20.12.2005,00:16:38 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Adlo.J.47.B!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0082797.EXE
[INFO] Die Datei wurde gelöscht!
20.12.2005,00:16:39 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Smartl.A.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0082798.EXE
[INFO] Die Datei wurde gelöscht!
20.12.2005,00:16:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AZ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0082799.DLL
[INFO] Die Datei wurde gelöscht!
20.12.2005,00:16:43 [WARNUNG] Ist das Trojanische Pferd TR/Pakes.A.257!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0082800.EXE

Jetzt habe ich Windows im Abgesicherten Modus gestartet und mit folgenden Programmen gescannt (habe vorher update gezogen): Adaware SE, SpyBot Search and Destroy, der noch mal Qoologic gefunden und gelöscht hat.
Im normalen Modus ist wieder der AntivirGuard angesprungen:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{64C8D7BF-A529-40D7-8540-838481EC276B}\RP377\A0082800.EXE
[INFO] Die Datei wurde gelöscht!
Danach war ruhe

Habe jetzt mit Hijackthis ein Logfile erstellt vielleicht findet jemand was ungewöhnliches

Logfile of HijackThis v1.99.1
Scan saved at 10:29:35, on 20.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
E:\PROGRAMME\SICHERHEIT\ANTIVIR\AVGUARD.EXE
E:\Programme\Sicherheit\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SYSTEM32\Mounter.exe
E:\Programme\Sicherheit\AntiVir\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\PROGRA~1\Internet\DSLSPE~1\SpeedMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Common Files\VCClient\VCClient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Common Files\VCClient\VCMain.exe
C:\Programme\Logitech\Video\FxSvr2.exe
E:\Programme\Internet\DSL Speed Manager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =hp://w*w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://w*w.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://*smartsurfer.web.de/Download
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS\SYSTEM32\Mounter.exe
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\Sicherheit\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\PROGRA~1\Internet\DSLSPE~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [adobemgr] C:\WINDOWS\system32\adobemgr.exe
O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Download all by Free Download Manager - file://E:\Programme\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://E:\Programme\Internet\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://E:\Programme\Internet\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://E:\Programme\Internet\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BF8CF50-1EF3-4E0F-9676-7CFE7427E764}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3959B2C-4465-4A27-968D-9876427B43CF}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\PROGRAMME\SICHERHEIT\ANTIVIR\AVGUARD.EXE
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\Sicherheit\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\PROGRAMME\INTERNETTELEDAT\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\Programme\Internet\DSL Speed Manager\tsmsvc.exe

Vielen Dank

hugHefner 20.12.2005 15:30
FInde nix böses...


Machmal ESCAN (signatur) und schau dir die Anleitung davon an (suche benutzen)...

drsteiner 21.12.2005 20:36
Hi, erstmal danke für´s drüberschauen.
Hab eben EScan drüberlaufen lassen...
Oje
ich will zurück in die Matrix.

Hier mein EScan Log:
------------------------------------------------------------------------
Funde für Infected

Wed Dec 21 12:46:45 2005 => File C:\WINDOWS\system32\eianpan.dll infected by "Trojan-Downloader.Win32.Qoologic.az" Virus! Action Taken: No Action Taken.
Wed Dec 21 12:46:56 2005 => File C:\WINDOWS\system32\wpkcak.exe infected by "Trojan-Downloader.Win32.Qoologic.at" Virus! Action Taken: No Action Taken.
Wed Dec 21 12:47:11 2005 => System found infected with edonkey2000 Spyware/Adware ({320154bb-d666-48f6-990e-172b32954620})! Action taken: No Action Taken.
Wed Dec 21 12:47:13 2005 => System found infected with zipitpro Spyware/Adware (iun6002.exe)! Action taken: No Action Taken.
Wed Dec 21 12:47:13 2005 => System found infected with abetterinternet Spyware/Adware (vbalicom6.dll)! Action taken: No Action Taken.
Wed Dec 21 12:47:18 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Dec 21 12:47:18 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Dec 21 12:47:18 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Dec 21 12:47:19 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Wed Dec 21 12:52:30 2005 => File C:\Dokumente und Einstellungen\AnonymUser\Anwendungsdaten\Thunderbird\Profiles\w8q9e8c1.default\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.NetSky.q" Virus! Action Taken: No Action Taken.
Wed Dec 21 13:01:27 2005 => File C:\Dokumente und Einstellungen\AnonymUser\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{C5D13753-F152-42CD-8F4D-06A7A052C58E}\Message Store\Attachments\diewilde.EXE infected by "not-virus:BadJoke.Win32.Badgame" Virus! Action Taken: No Action Taken.
Wed Dec 21 13:02:34 2005 => File C:\Dokumente und Einstellungen\AnonymUser\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{C5D13753-F152-42CD-8F4D-06A7A052C58E}\Message Store\Inbox.imm infected by "Trojan-Spy.HTML.Bankfraud.if" Virus! Action Taken: No Action Taken.
Wed Dec 21 13:46:33 2005 => File C:\WINDOWS\system32\eianpan.dll infected by "Trojan-Downloader.Win32.Qoologic.az" Virus! Action Taken: No Action Taken.
Wed Dec 21 13:46:34 2005 => File C:\WINDOWS\system32\fjcdvcd.exe infected by "Trojan.Win32.Pakes" Virus! Action Taken: No Action Taken.
Wed Dec 21 13:47:37 2005 => File C:\WINDOWS\system32\pwvku.dat infected by "Trojan-Downloader.Win32.Qoologic.at" Virus! Action Taken: No Action Taken.
Wed Dec 21 14:26:26 2005 => File E:\Downloads\run.exe infected by "Trojan-Downloader.Win32.Adload.j" Virus! Action Taken: No Action Taken.


Funde für Tagged

Wed Dec 21 13:20:17 2005 => File C:\Programme\Everest Poker\cstart.exe tagged as "not-a-virus:AdWare.Win32.Casino.l". Action Taken: No Action Taken.
Wed Dec 21 13:52:52 2005 => File E:\Downloads\Everest Poker.exe tagged as "not-a-virus:AdWare.Win32.Casino.d". Action Taken: No Action Taken.


Funde für offending

Wed Dec 21 12:47:12 2005 => Offending Key found: HKLM\Software\edonkey2000 !!!
Wed Dec 21 12:47:13 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Wed Dec 21 12:47:13 2005 => Offending file found: C:\WINDOWS\system32\vbalicom6.dll
Wed Dec 21 12:47:16 2005 => Offending Folder found: C:\Dokumente und Einstellungen\AnonymUser\Eigene Dateien\ea games\die sims 2\music\cas
Wed Dec 21 12:47:18 2005 => Offending file found: C:\Dokumente und Einstellungen\AnonymUser\Eigene Dateien\konami\pro evolution soccer 5\settings.dat
Wed Dec 21 12:47:18 2005 => Offending file found: C:\Dokumente und Einstellungen\AnonymUser\Eigene Dateien\konami\pro evolution soccer 5 demo 2\settings.dat
Wed Dec 21 12:47:18 2005 => Offending file found: C:\Dokumente und Einstellungen\AnonymUser\Eigene Dateien\nba live 2005\settings\settings.dat
Wed Dec 21 12:47:19 2005 => Offending file found: C:\WINDOWS\iun6002.exe

Statistiken:

Wed Dec 21 17:53:31 2005 => ***** Scanning complete. *****

Wed Dec 21 17:53:31 2005 => Total Objects Scanned: 296919
Wed Dec 21 17:53:31 2005 => Total Virus(es) Found: 21
Wed Dec 21 17:53:31 2005 => Total Disinfected Files: 0
Wed Dec 21 17:53:31 2005 => Total Files Renamed: 0
Wed Dec 21 17:53:31 2005 => Total Deleted Objects: 0
Wed Dec 21 17:53:31 2005 => Total Errors: 362
Wed Dec 21 17:53:31 2005 => Time Elapsed: 05:06:33
Wed Dec 21 17:53:31 2005 => Virus Database Date: 2005/12/12
Wed Dec 21 17:53:31 2005 => Virus Database Count: 164615

Wed Dec 21 17:53:31 2005 => Scan Completed.
-------------------------------------------------------------------------

Scheisse was soll ich machen? hat das überhaupt noch Zweck mit Killbox die Dinger zu Löschen?
Bitte sagt mir was ich Löschen kann ohne mein System zu crashen.

Danke Dr. Stein

felix1 21.12.2005 21:03
Deaktiviere die Systemwiederherstellung, Reboot, Systemwiederherstellung wieder einschalten.
Der Rest ist für die Killbox.
Oder Löschen mit Totalcommander:
http://www.pcwelt.de/know-how/softwa...798/index.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129