Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdacht auf Trojaner bitte um Hilfe (https://www.trojaner-board.de/32767-verdacht-trojaner-bitte-um-hilfe.html)

brenes 09.10.2006 18:42
Verdacht auf Trojaner bitte um Hilfe
 
Ich habe vor ein paar Tagen mein Betriebssystem windowsxp home
Service Pack II neu aufgesetzt, da mir escan einen Trojaner mit
dem Namen Win32/Rukap.BS im folder windows\system32\directx.exe meldete.
Hab ein bischen gelesen und dachte: gut installier ich mal neu.
Nun war alles frisch installiert und ich habe wie gewohnt alle
benötigten Programme aufgespielt und heute nochmal escan
laufen lassen. Das Ergebnis war schon wieder diese directx.exe im selben
Verzeichnis. Seit der neu Installation habe ich Kaspersky Internet Security
auf dem System laufen und es hat den Trojaner nicht entdeckt.
Bis Jetzt hat sich mein Computer noch nicht auffällig verhalten.
Was mach ich Jetzt? Das System nocheinmal neu aufsetzen?

P.S.: Kann auch nochmal die escan ergebnisse posten

Vielen Dank für die Hilfe



Hier erstmal ein scan der Datei auf virustotal.com

Complete scanning result of "directx.exe", received in VirusTotal
at 10.09.2006, 15:15:59 (CET).

AntiVir----HEUR/Crypted
Authentium---- no virus found
Avast---- no virus found
AVG----no virus found
BitDefender----no virus found
CAT-QuickHea----no virus found
ClamAV----no virus found
DrWeb----DLOADER.Trojan
eTrust-Inoculate----no virus found
eTrust-Vet----no virus found
Ewido----no virus found
Fortinet----suspicious
F-Prot----no virus found
F-Prot4----no virus found
Ikarus----Net-Worm.Win32.Mytob.DE
Kaspersky----no virus found
McAfee----no virus found
Microsoft----no virus found
NOD32v2----a variant of Win32/Rukap.BS
Norman----no virus found
Panda----Suspicious file
Sophos----Mal/Packer
TheHacker----no virus found
UNA----no virus found
VBA32----no virus found
VirusBuster----no virus found



und mein HiJackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 15:43:21, on 09.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\Acrobat.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis_199\HijackT his.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mwti.net/link.asp?pid=5BD
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: biblioscape - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PRO GRA~1\KASPER~2\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Rene-gad 09.10.2006 18:59
@brenes
Sende bitte die fragliche Datei verpackt und PW-geschützt an newvirus@kaspersky.com. PW schreibe in Text deiner E-Mail rein.

alexisonchaos 09.10.2006 18:59
vielleicht vergleichst du mal Stichprobenartig Dateien im \system32 Ordner und Registrierungseinträge (ausführen; regedt32) mit dem, bei www.avira.com/de/threats/section/fulldetails/id_vir/2350/bds_ciadoor.bo.html beschriebenen BDS/Ciadoor.BO - Backdoor Server.

brenes 10.10.2006 11:13
Erstmal vielen Dank für die prompten Antworten
Hab das File mit der directx.exe an Kaspersky geschickt, jedoch noch keine Antwort erhalten. Der Scanner erkennt es auch noch nicht als Virus an.
Die Einträge in der Registry, als auch die anderen Dateien scheinen
nicht vorhanden.

Wie sieht denn mein HiJackThis Log aus?
Der Trojaner scheint noch nicht gestartet zu sein oder?


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131