Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log-file (https://www.trojaner-board.de/30532-log-file.html)

cav414 12.07.2006 14:48
Log-file
 
Hallo und zwar habe ich seit kurzem das Problem dass irgendetwas automatisch links setzt wo eigentlich keine sein sollten. Die verweisen dann alle auf folgende adresse:
h**p://slowl.com/wlink.php?qq=mountainbike&index=2
Das jeweilige Schlüsselwort (in diesem Fall "mountainbike") und der index variieren immer.
Desweiteren versucht sich jedesmal wenn ich ein IE-Fenster aufmache folgender Eintrag in die Registrierung einzutragen:

12.07.2006 15:34:59 Verweigert value "{317E9491-B64D-3FA5-E0BE-326A6AB23060}" (new data: "") hinzugefügt in Browser Helper Object!

Könnte bitte jemand einmal mein logfile durchschauen.

Logfile of HijackThis v1.99.1
Scan saved at 15:30:14, on 12.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Danke und LG

felix1 12.07.2006 18:01
Deaktiviere von Spybot den Teatimer. Führe weiterhin aus:
Prüfe Dein System mit Ewido Antimalware. Link dazu http://www.ewido.net/de/ .Poste das Ergebnis.

cav414 12.07.2006 19:32
antimalware gibts laut de hp net mehr. Hab mir jetzt antispyware runtergeladen und das ganze System gescant. Hat keine Bedrohung gefunden. Mehr steht net da.
Situation hat sich jetzt verschärft indem automatisch pop ups mit eben der einen adresse erscheinen. :(

felix1 12.07.2006 19:42
Liest Du, was man Dir antwortet?
Du hast zwei Hinweise bekommen, arbeite sie ab:headbang:

cav414 12.07.2006 20:15
Natürlich. :heulen:
;)

1.) Teatimer hab ich deaktiviert
2.)
Zitat:
Zitat von ewido
ewido anti-malware 3.5 wurde durch ewido anti-spyware 4.0 ersetzt und ist nicht mehr zum Kauf und Download erhältlich. Bitte testen Sie die neue, stark verbesserte Version
Außer du meinst natürlich den online scanner. Den hab ich in der Tat erst jetzt gesehen.

felix1 12.07.2006 20:23
Dann nehme die Version 4. Sie sollte 30 Tage kostenlos laufen.

cav414 12.07.2006 20:26
Hab ich ja. Und das einzige was in dem Bericht steht ist eben dass er keine Bedrohung gefunden hat. Sonst steht dort nix. :confused:

Wildone 12.07.2006 20:44
Hallo,
benutzt du einen Proxy? Wenn ja, gibt es die Verlinkungen auch wenn du ihn ausschaltest?

Edit
Scanne dein System mal mit F-Secure Blacklight und poste danach das Logfile, wird automatisch nach dem scan im selben Pfad erstellt, fsbl**.txt


Grüße Wildone

cav414 12.07.2006 20:49
Nicht dass ich wüsste. Außer ein Router ist auch ein Proxyserver. Blick da net wirklich durch.

Wildone 12.07.2006 20:52
Hallo,
glaube jetzt den Grund gefunden zu haben, mach mal das was im edit steht. Poste mal außerdem noch ein neues HijackThis Log nachdem du den Teatimer ausgeschaltet hast.


Grüße Wildone

cav414 12.07.2006 21:10
Logfile of HijackThis v1.99.1
Scan saved at 22:07:11, on 12.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\blbeta.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: Class - {317E9491-B64D-3FA5-E0BE-326A6AB23060} - C:\WINDOWS\lurnk1.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Blacklight hat folgendes gefunden:
:kbdanil.dll
lurnk1.dll

Wildone 12.07.2006 21:14
Hallo,
kannst du mal doch noch die Log Datei von F-Secure posten, ich will da ganz sicher gehen, sollte wie beschrieben aussehen (fsbl**.txt).


Grüße Wildone

cav414 12.07.2006 21:15
07/12/06 21:59:25 [Info]: BlackLight Engine 1.0.42 initialized
07/12/06 21:59:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/12/06 21:59:25 [Note]: 7019 4
07/12/06 21:59:25 [Note]: 7005 0
07/12/06 21:59:49 [Note]: 7006 0
07/12/06 21:59:49 [Note]: 7011 3164
07/12/06 21:59:49 [Note]: 7026 0
07/12/06 21:59:49 [Note]: 7026 0
07/12/06 21:59:58 [Note]: FSRAW library version 1.7.1019
07/12/06 22:00:00 [Info]: Hidden file: c::kbdanil.dll
07/12/06 22:00:00 [Note]: 7002 0
07/12/06 22:00:00 [Note]: 7003 1
07/12/06 22:02:10 [Info]: Hidden file: c:\WINDOWS\lurnk1.dll
07/12/06 22:02:10 [Note]: 10002 1
07/12/06 22:09:51 [Note]: 7007 0

Wildone 12.07.2006 21:20
Hallo,
scanne mal nochmal mit Blacklight, gehe dann aber zum zweiten Schritt "clean", benutze dort die Renamefunktion bei beiden Dateien, dann wird ein Neustart durchgeführt, danach sollten die Dateien so aussehen:

c:\WINDOWS\lurnk1.dll.ren
c::kbdanil.dll.ren (wahrscheinlich in C:\, bin mir aber nicht sicher)

Diese Dateien lädst du dann hier hoch und postest das Ergebnis.


Grüße Wildone

cav414 12.07.2006 21:53
Kann die Dateien nicht finden.
Versteckte und geschützte Systemdateien werden angezeigt. Die Suche ergibt auch nichts.

Links und popups hab ich derzeit aber keine mehr.

Wildone 12.07.2006 22:05
Hallo,
mal der Reihe nach, das umbennen hat mit Blacklight geklappt? Gab es einen Neustart? Werden die Dateien bei Blacklight noch angezeigt?

Suche mal mit folgendem Begriff "*.ren" (ohne Anführungszeichen).


Grüße Wildone

cav414 12.07.2006 22:28
Hmmm
Blacklight findet beide Dateien noch. Die eine ist umbenannt, die andere hat er auch beim 3. Versuch nicht geändert. Mit .ren find ich auch nix.

07/12/06 23:18:41 [Info]: BlackLight Engine 1.0.42 initialized
07/12/06 23:18:41 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/12/06 23:18:41 [Note]: 7019 4
07/12/06 23:18:41 [Note]: 7005 0
07/12/06 23:18:43 [Note]: 7006 0
07/12/06 23:18:43 [Note]: 7011 424
07/12/06 23:18:44 [Note]: 7026 0
07/12/06 23:18:44 [Note]: 7026 0
07/12/06 23:19:00 [Note]: FSRAW library version 1.7.1019
07/12/06 23:19:05 [Info]: Hidden file: c::kbdanil.dll
07/12/06 23:22:08 [Info]: Hidden file: c:\WINDOWS\lurnk1.dll.ren
07/12/06 23:22:08 [Note]: 10002 1

Wildone 12.07.2006 22:37
Hallo,
hmm, ist halt etwas brandneues was du dir da gefangen hast. Ist das erste mal das ich erlebe das die Renamefunktion nicht funktioniert.
Ist die Datei ev. im abgesichrten Modus (F8 beim booten)zu sehen?

Ansonsten fällt mir erstmal nicht mehr soviel ein, du hast nicht zufällig eine Bart PE CD zuhause rumliegen?
Vielleicht habe ich morgen noch mehr Ideen, mal schauen.


Grüße Wildone

cav414 12.07.2006 23:27
Auch Fehlanzeige.

Danke jedenfalls schon einmal. Find das echt super dass es Leute gibt die sich soviel Mühe geben soviel Zeit investieren um anderen zu helfen. :party:

Wildone 13.07.2006 09:20
Hallo,
besorge dir mal eine Knoppix boot CD, starte das Linuxsystem dann von CD und schau mal ob du von dort aus an die Dateien heran kommst, wenn ja, übeprüfe sie auf virustotal.com.

Und du solltest dich mental auch mal mit der Option eines Neuaufsetzen des Systems auseinander setzen.



Grüße Wildone

felix1 13.07.2006 09:26
Erstelle Dir mal so eine CD und boote dann mit dieser:
http://www.pcwelt.de/know-how/softwa...798/index.html

@ Moin, Wildone:daumenhoc :party:

Wildone 13.07.2006 09:32
Hallo,
@felix1 Moin :party:
An Bart PE hatte ich auch schon gedacht, ein Versuch ist es auf jeden Fall wert, bin mir aber nicht sicher ob man es von einem potenziell kompromittierten System aus erstellen sollte, aber mal abwarten, vielleicht funktioniert es.



Grüße Wildone

felix1 13.07.2006 09:45
@ Wildone
Sollte funktionieren, da die Daten ja von der XP-CD genommen werden. IMHO zieht er nur Treiber u.ä. von der HDD.

cav414 13.07.2006 16:30
Also die lurnk1.dll.ren hab ich mit linux gefunden und an die email adresse geschickt und wart jetzt einmal auf eine antwort. Hatte sogar noch eine Knoppix CD daheim die ich einmal bekommen habe.

Von der zweiten fehlt aber nach wie vor jede Spur. Was mich da ein bisschen irritiert: Blacklight gibt an die Datei heißt :kbdanil.dll. Im Log-file steht als pfad aber c::kbdanil.dll. Müsste das dann nicht c:\:kbdanil.dll heißen?

Wildone 13.07.2006 16:36
Hallo,
ähhm, welche E-Mail Adresse? Hier hochladen, und 2 Minuten warten wäre schneller.
Zitat:
Blacklight gibt an die Datei heißt :kbdanil.dll. Im Log-file steht als pfad aber c::kbdanil.dll. Müsste das dann nicht c:\:kbdanil.dll heißen?
Ist mir ehrlich gesagt selbst nicht ganz klar, schau nochmal ob du sie in Knoppix nicht doch findest.


Grüße Wildone

cav414 13.07.2006 17:10
Ja das geht unter dem link per email auch. Hier das Ergebnis:

AntiVir 6.35.0.21 07.13.2006 HEUR/Crypted.Patched
Authentium 4.93.8 07.12.2006 no virus found
Avast 4.7.844.0 07.12.2006 Win32:Agent-gen
AVG 386 07.13.2006 no virus found
BitDefender 7.2 07.13.2006 no virus found
CAT-QuickHeal 8.00 07.13.2006 no virus found
ClamAV devel- 20060426 07.13.2006 no virus found
DrWeb 4.33 07.13.2006 no virus found
eTrust-InoculateIT 23.72.67 07.13.2006 no virus found
eTrust-Vet 12.6.2296 07.13.2006 no virus found
Ewido 4.0 07.13.2006 no virus found
Fortinet 2.77.0.0 07.13.2006 suspicious
F-Prot 3.16f 07.12.2006 no virus found
F-Prot4 4.2.1.29 07.12.2006 no virus found
Ikarus 0.2.65.0 07.13.2006 no virus found
Kaspersky 4.0.2.24 07.13.2006 not-a-virus:AdWare.Win32.LinkOptimizer.a
McAfee 4805 07.12.2006 no virus found
Microsoft 1.1481 07.13.2006 no virus found
NOD32v2 1.1657 07.13.2006 probably a variant of Win32/TrojanDownloader.Agent.BQ
Norman 5.90.23 07.13.2006 no virus found
Panda 9.0.0.4 07.13.2006 no virus found
Sophos 4.07.0 07.13.2006 no virus found
Symantec 8.0 07.13.2006 no virus found
TheHacker 5.9.8.174 07.13.2006 no virus found
UNA 1.83 07.12.2006 no virus found
VBA32 3.11.0 07.12.2006 no virus found
VirusBuster 4.3.7:9 07.13.2006 no virus found

Wildone 13.07.2006 17:28
Hallo,
hmm prinzipiell scheint mir das nicht so schlimm zu sein, jetzt ist nur noch die Frage wie wir es weg bekommen. Versuche es mal mit knoppix zu löschen, aber ich befürchte das man dazu schreibrechte braucht, google hierfür mal nach NTFS und knoppix.
Wie wir die andere Datei da noch herauskitzeln können ist mir noch schleierhaft, ev. hat sie ja gar nichts mit der Infektion zu tun. :dummguck:


Grüße Wildone

cav414 13.07.2006 17:30
Kann sein. Seit gestern ist jedenfalls Ruhe. Suspekt is sie mir trotzdem.

Wildone 13.07.2006 17:33
Mir auch, aber im Moment habe ich keine Ahnung wie wir an die ran kommen sollen, eigentlich müßte sie schon unter Knoppix angezeigt werden, die Frage ist nur unter welchem Namen. Vielleicht durchsuchst du mal nach *.dll und läßt das Ergebniss alphabetisch sortieren, vielleicht würde sie dann dort irgendwo angezeigt.


Grüße Wildone

Wildone 13.07.2006 18:05
Hallo,
ev. kannst du es noch mit diesem Tool versuchen die Datei los zu werden.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131