Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner -Packed.Win32.Klone.g (https://www.trojaner-board.de/30681-trojaner-packed-win32-klone-g.html)

j23 17.07.2006 22:28
Trojaner -Packed.Win32.Klone.g
 
Hallo zusammen,
ich habe mehrere Trojanen etc.Trojan-Downloader.Win 32.Zlob.yx eingefangen.F-Secure kann das nicht beheben und da ich überhaupt nicht auskenn hoffe,jemand kann mir helfen.
Logfile und dat .txt füge ich bei.

Logfile of HijackThis v1.99.1
Scan saved at 23:26:27, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ctfmon.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
D:\WINDOWS\System32\nvsvc32.exe
F:\Programme\F-Secure Internet Security\Common\FCH32.EXE
D:\WINDOWS\System32\svchost.exe
F:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
F:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
F:\Programme\F-Secure Internet Security\FSPC\fspc.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
D:\WINDOWS\system32\ishost.exe
F:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
F:\Programme\F-Secure Internet Security\Common\FSM32.EXE
D:\WINDOWS\system32\ismon.exe
F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe
D:\Programme\Gemeinsame Dateien\{6C94D022-0773-1031-0922-031022030031}\Update.exe
F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
F:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
F:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\WINDOWS\System32\HPZipm12.exe
F:\Programme\Skype\Phone\Skype.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE
D:\Programme\Skype\toolbars\Skype for Outlook\SkypeOBE.exe
F:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
G:\adware05\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [F-Secure Manager] "F:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "F:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "F:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "F:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: F-Secure 2006.lnk = F:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: hp psc 2000 Series.lnk = F:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = F:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &eBay Search - res://F:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Dieses Popup &blockieren - F:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - F:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - F:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093879049193
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133543935379
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - F:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - F:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - F:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - F:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe




Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Laut F-Secure sind : ishost.exe und ismon.exe befallen, soll u. kann ich das löschen????

Verzeichnis von D:\WINDOWS\system32

17.07.2006 15:51 626.742 twabc.ini
17.07.2006 15:39 12.800 ismon.0xe ( befallen ??-F-Secure)
17.07.2006 15:35 2.206 wpa.dbl
15.07.2006 16:34 38.925 byxxvwt.dll
15.07.2006 16:34 105.488 ISHOST.0XE ( befallen ??? )
15.07.2006 13:38 39.276 perfc009.dat
15.07.2006 13:38 309.564 perfh009.dat
15.07.2006 13:38 47.562 perfc007.dat
15.07.2006 13:38 314.822 perfh007.dat
15.07.2006 13:38 718.592 PerfStringBackup.INI
15.07.2006 12:17 1.187.840 winsflt.dll
12.07.2006 22:26 97 mcrh.tmp
10.07.2006 21:14 1.187.840 winsflt.1
09.07.2006 11:09 39.437 mljgfda.dll
08.07.2006 14:47 623.839 twabc.bak2
07.07.2006 23:26 81.984 bdod.bin
07.07.2006 22:18 31 getfile.dat
07.07.2006 18:43 623.283 twabc.bak1
07.07.2006 18:42 569.396 cbawt.dll
06.07.2006 21:46 39.437 khfefdd.dll
06.07.2006 21:45 18.432 winupx32.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
01.05.2006 21:24 81.920 ElbyCDIO.dll

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\DOKUME~1\Tom\LOKALE~1\Temp

15.07.2006 13:26 200 VisioCA.log
15.07.2006 12:13 166.500 BWInstall.log
15.07.2006 12:10 26.404 BWDump.log
13.07.2006 19:50 69.632 UninstallRC-4476822.dll
12.07.2006 23:21 196.660 BWInstall.log.old
5 Datei(en) 459.396 Bytes
0 Verzeichnis(se), 1.755.611.136 Bytes frei

Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\WINDOWS

17.07.2006 15:38 0 0.log
17.07.2006 15:37 159 wiadebug.log
17.07.2006 15:36 1.968.714 WindowsUpdate.log
17.07.2006 15:36 50 wiaservc.log
17.07.2006 15:35 2.048 bootstat.dat
15.07.2006 16:19 32.228 SchedLgU.Txt
15.07.2006 13:28 1.262.804 iis6.log
15.07.2006 13:28 205.656 comsetup.log
15.07.2006 13:28 215.051 ntdtcsetup.log
15.07.2006 13:28 479.184 tsoc.log
15.07.2006 13:28 48.549 tabletoc.log
15.07.2006 13:28 1.374 imsins.log
15.07.2006 13:28 52.835 ocmsn.log
15.07.2006 13:28 12.596 KB917159.log
15.07.2006 13:28 175.502 netfxocm.log
15.07.2006 13:28 329.568 ocgen.log
15.07.2006 13:28 59.247 medctroc.Log
15.07.2006 13:28 50.933 msgsocm.log
15.07.2006 13:28 1.069.211 FaxSetup.log
15.07.2006 13:27 343.172 msmqinst.log
15.07.2006 13:21 1.467 win.ini
15.07.2006 13:17 1.374 imsins.BAK
15.07.2006 13:17 12.433 KB914388.log
15.07.2006 13:17 44.078 updspapi.log
15.07.2006 13:14 10.358 KB916595.log
15.07.2006 13:08 7.344 fsiuupd.log
15.07.2006 12:18 310.562 RunSetup.log
15.07.2006 12:18 3.524.050 FSSFM.log
15.07.2006 12:18 8.638.287 FSISU.log
15.07.2006 12:18 826.449 FSPROD.log
15.07.2006 12:18 4.202 NEWSINST.LOG
15.07.2006 12:18 1.336.450 FSSETUP.log
15.07.2006 12:18 40.717 FSSCINST.log
15.07.2006 12:18 296.076 FSSSINST.log
15.07.2006 12:18 14.445 HELPINST.LOG
15.07.2006 12:18 27.799 FSSYSUPD.LOG
15.07.2006 12:18 100.603 FSASWSIN.log
15.07.2006 12:18 20.413 FSPCINST.LOG
15.07.2006 12:18 3.774 fsavunin.log
15.07.2006 12:18 88.283 fsmainst.log
15.07.2006 12:18 13.600 FSASWINS.LOG
15.07.2006 12:18 7.980 FSAVCSIN.LOG
15.07.2006 12:18 9.398 FSGUIINS.LOG
15.07.2006 12:18 10.228 fsdginst.log
15.07.2006 12:18 98.657 fwesinst.log
15.07.2006 12:18 47.007 fstnbins.LOG
15.07.2006 12:18 12.107 fsrif.log
15.07.2006 12:17 61.481 fwinst.log
15.07.2006 12:17 159.671 FSAVINST.LOG
15.07.2006 12:17 2.185 DAASINST.LOG
15.07.2006 12:15 746.355 FSDEPH.log
15.07.2006 12:15 13.312 FSSGSUP.LOG
15.07.2006 12:15 45.805 fsbwinst.log
15.07.2006 12:15 2.068 FSPRODRM.LOG
15.07.2006 12:15 478.012 fssgpex.LOG
15.07.2006 12:10 118.842 bwUnin-6.3.2.123-4476822L.exe
15.07.2006 12:08 16.373 Q-Klez.log
12.07.2006 23:27 1.992 FSPCUNIN.LOG
12.07.2006 22:24 561 daasunin.LOG
12.07.2006 22:24 1.255 fsdgunst.log
12.07.2006 22:24 2.981 fsmaunin.log
12.07.2006 22:24 1.966 FSASWUNI.LOG
12.07.2006 21:56 6.060 setupact.log
12.07.2006 21:31 1.153.630 ntbtlog.txt
12.07.2006 21:15 16 wininit.ini
11.07.2006 22:41 545.653 setupapi.log
10.07.2006 23:18 272 system.ini
19.06.2006 19:49 14.114 mozver.dat
19.06.2006 18:45 93.161 spupdsvc.log
16.06.2006 22:52 12.972 KB917734.log
16.06.2006 22:52 61.781 wmsetup.log
31.05.2006 04:34 1.141 WISO.INI
31.05.2006 04:20 2.964 tm.ini


Datentr„ger in Laufwerk D: ist XP Pro
Volumeseriennummer: 6C94-D022

Verzeichnis von D:\

17.07.2006 16:59 0 sys.txt
17.07.2006 16:59 11.447 system.txt
17.07.2006 16:59 903 systemtemp.txt
17.07.2006 16:59 113.279 system32.txt
17.07.2006 15:53 11.447 windows.txt
17.07.2006 15:52 498 temp.txt
17.07.2006 15:35 267.964.416 hiberfil.sys
17.07.2006 15:35 1.006.632.960 pagefile.sys
8 Datei(en) 1.274.734.950 Bytes
0 Verzeichnis(se), 1.752.637.440 Bytes frei

Vielen Dank im voraus
MfG J23

Mellosun 17.07.2006 22:39
Hallo j23,

die Suchfunktion im Bord hätte Dir geholfen.

Lies diese Anleitung genau durch und Handel danach!


Gruß Mellosun

EDIT: Nabend Cosinus:party:

cosinus 17.07.2006 22:40
Zlob oder Klone.G? Oder ist der Klone.G ein Zlob/Smitfraud etc. Vertreter?
Zitat:
D:\WINDOWS\system32\ishost.exe
D:\WINDOWS\system32\ismon.exe
Sollten m.W. zum Zlob gehören. Kannst diese beiden Dateien aber nochmal zur Gewissheit bei Virustotal oder Jotti auswerten lassen. Ansonsten sieht das HJT-Logfile okay aus, von daher solltest Du Dich mal genau an diese Anleitung halten.
Ich bin zwar nicht der Profi im Auswerten der datfind-Logs, aber einige Dateien kommen mir nicht koscher vor, z.B. diese:
Zitat:
15.07.2006 16:34 38.925 byxxvwt.dll
12.07.2006 22:26 97 mcrh.tmp
10.07.2006 21:14 1.187.840 winsflt.1
09.07.2006 11:09 39.437 mljgfda.dll
Evtl. sind diese (und andere) Dateien die Folge von Zlob.

Edit: Nabend Mellosun! :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:39 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129