Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   iddC.tmp.exe Trojaner (https://www.trojaner-board.de/33661-iddc-tmp-exe-trojaner.html)

Lennix 19.11.2006 15:53
iddC.tmp.exe Trojaner
 
Tach,

also ich hoff ihr könnt mir helfen, bei mir kommt nach paar min nach nem Systemstart immer eine Warnung:

Von iddC.tmp

NON HO TRAVATO NESSUN MODEM PER LA CONNESSIONE


Keine Ahnung was das für ne sprache is:D

Und nach diesem Zeitpunkt startet sich der Prozess iddC.tem.exe!


Ich hoffe ihr könnt mir helfen ihn wieder loszukriegen!


Danke schon mal im Vorraus!


Code:
Logfile of HijackThis v1.99.1
Scan saved at 15:47:56, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Xfire\Xfire.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\TEMP\win79.tmp.exe
C:\WINDOWS\TEMP\iddC.tmp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\Lennix!\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)

Lennix 19.11.2006 17:19
UPDATE


Logfile of HijackThis v1.99.1
Scan saved at 17:18:07, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Xfire\Xfire.exe
C:\WINDOWS\TEMP\win79.tmp.exe
D:\Programme\GUILD WARS\Gw.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lennix!\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

Njall 19.11.2006 17:44
Hi

Also die Sprache ist Italienisch und das heisst:
"Es wurde kein Modem für die Verbindung gefunden"..

Das deutet für mich auf einen Dialer hin.

Check mal die Files bei Virustotal.com

C:\WINDOWS\TEMP\win79.tmp.exe

(Schmeiss eventuell mal alles aus deinem Temp Verz. raus, sollte an sich nix passieren dabei, eventuell ändert der den Namen bei jedem Start).

C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802
060031}\Update.exe

C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\MsPMSPSv.exe

Lg

Lennix 19.11.2006 18:37
Also ich hab die Datein hochgeladen und wurden gescannt!

Haben aber nirgends einen Virus gefunden!


Aber dieses Fenster kommt immer noch *grrr*

Und im temp verzeichniss kann ich nicht alle datein löschen!

Njall 19.11.2006 19:41
Hi

packed die Datei

C:\WINDOWS\TEMP\win79.tmp.exe

in ein RAR oder Zip und stell sie mir irgendwo rauf wo ich sie mir runterladen kann, ich schau mir die dann genauer an und sage dir was Sache ist :)

lg

Welche Files im Temp Verz. kannst du nicht löschen ?
(Welche Programme rennen gerade ? )

Lennix 19.11.2006 19:56
Also die Win79.tmp datei gibts nicht mehr!

Sind nur noch:

idd1D.tmp
idd2B.tmp
idd2C.tmp
idd19.tmp
idd20.tmp
win1C.tmp
win1F.tmp
win2A.tmp
win18.tmp
22 -29 jeweils win**.tmp

Drin! Ich glaub die win79.tmp hab ich gelöscht!




Und löschen kann ich davon die "win1C.tmp" datei nicht!
Soll ich dir die Datei mal packen?


Auch wenn ich keine Programme mehr offen hab!


gruß

Njall 19.11.2006 19:58
Hi

Ja pack die mal und stell die wo rauf, ich schau mir die morgen genauer an :)

Du kannst die nat. auch bei Virustotal raufladen, und schauen was rauskommt dabei :)

lg

Lennix 19.11.2006 19:59
Ok also jetzt konnt ich alle Datein im "temp" verzeichniss löschen!


Ich starte eben mein pc neu und schreib ein neues HiJackThis Log file rein!

Sunny 19.11.2006 20:00
Zitat:
Zitat von Lennix (Beitrag 240855)
Also ich hab die Datein hochgeladen und wurden gescannt!

Haben aber nirgends einen Virus gefunden!
Das mag wohl im ersten Moment richtig sein, hast du denn mal die Größe der Datei kontrolliert?! Diese lag sicherlich bei der Auswertung bei 0Kb, das ist ein Selbstschutz des Trojaners bzw. Schädlings.

Versuch daher mal folgendes, benenne die Datei win79.tmp.exe um, in z.B. Virus.exe, lass diese dann nochmals auswerten und poste das Ergebnis. (alles kopieren und hier einfügen in deinen Beitrag!)

Gruß
Sunny

Njall 19.11.2006 20:09
Hi :)

Ja gute Idee, ich hoffe nur nicht das der seinen Namen ändert, aber auch dann finden wir ihn ;)

PM Sunny :):daumenhoc

Lennix 19.11.2006 20:17
Also ich hab nen restart gemacht, und alles war weg!

Gut, aber nach 10min kam dieses Italienische fenster wieder und es waren wieder 2 Prozesse offen und 2 Datein im Temp ordner!

Dateinamen:

idd4.tmp
win3.tmp


Beide bei Totalvirus.com hochgeladen und diesmal haben sie ne menge gefunden!



Werden gerade noch gescannt! Werd sie gleich posten!

Lennix 19.11.2006 20:22
So es gibt arbeit:D


Complete scanning result of "idd4.tmp.exe", received in VirusTotal at 11.19.2006, 20:12:45 (CET).

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 TR/PCK.Klone.G.69.A

Authentium 4.93.8 11.17.2006 Possibly a new variant of W32/Dialer.TCS-behavior!Maximus

Avast 4.7.892.0 11.18.2006 no virus found

AVG 386 11.18.2006 Potentially harmful program Dialer.DCH

BitDefender 7.2 11.19.2006 Dialer.Zicapli.A

CAT-QuickHeal 8.00 11.18.2006 no virus found

ClamAV devel-20060426 11.19.2006 Dialer-747

DrWeb 4.33 11.19.2006 no virus found

eSafe 7.0.14.0 11.19.2006 suspicious Trojan/Worm

eTrust-InoculateIT 23.73.59 11.18.2006 no virus found

eTrust-Vet 30.3.3197 11.17.2006 no virus found

Ewido 4.0 11.19.2006 Dialer.Small

Fortinet 2.82.0.0 11.19.2006 Dial/TDial

F-Prot 3.16f 11.17.2006 Possibly a new variant of
W32/Dialer.TCS-behavior!Maximus

F-Prot4 4.2.1.29 11.17.2006 W32/Dialer.TCS-behavior!Maximus

Ikarus 0.2.65.0 11.19.2006 no virus found

Kaspersky 4.0.2.24 11.19.2006 Trojan.Win32.Dialer.qn

McAfee 4899 11.18.2006 potentially unwanted program Dialer-gen

Microsoft 1.1609 11.19.2006 no virus found

NOD32v2 1871 11.19.2006 no virus found

Norman 5.80.02 11.17.2006 W32/Dialer.AYTX

Panda 9.0.0.4 11.19.2006 Dialer.IBW

Prevx1 V2 11.19.2006 no virus found

Sophos 4.11.0 11.16.2006 Dial/TDial-B

TheHacker 6.0.3.122 11.18.2006 Dialer/Generico

UNA 1.83 11.17.2006 no virus found

VBA32 3.11.1 11.19.2006 Trojan.Win32.Dialer.qn

VirusBuster 4.3.15:9 11.19.2006 no virus found

Aditional Information
File size: 13080 bytes
MD5: a80d258e26de139372e95e42767878f1
SHA1: 9e482dec29d6c71a2871db6af907c1940e0436a6
packers: UPX
packers: UPX
packers: UPX

Lennix 19.11.2006 20:24
So und die andere Datei scannt noch, aber hängt anscheinend!

File "win3.tmp.exe" received on 11.19.2006 at 20:13:21 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 7.2.0.39 11.19.2006 TR/PCK.Klone.G.69

Authentium 4.93.8 11.17.2006 no virus found

Avast 4.7.892.0 11.18.2006 Win32:Pakes-EO

AVG 386 11.18.2006 Generic2.EZZ

Aditional Information
File size: 33280 bytes
MD5: 8dd9eb58bef7d41eb9f37b832c83d1f5
SHA1: d0675e5e1e6fa0910aea014a9c71d255f17f45aa

Lennix 19.11.2006 20:43
Also wenn ich mein TEMP ordner lösche is alles weg, also leer!
Wenn ich neustart mach is er auch noch leer, aber wenn dann das fenster wieder kommt! Siehts so aus:

http://mitglied.lycos.de/lennix/FU.JPG

Dann nach 5-10min kommt wieder so ein ITL. Fenster und dann siehts so aus!

http://mitglied.lycos.de/lennix/PIC.JPG



ich glaub die vermehren sich:D

Helft mir doch!:(

felix1 19.11.2006 20:54
Ehe Njall Deinem PC noch ernsthaften Schaden zu zufügen kann:
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:15 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129