Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Party Poker (https://www.trojaner-board.de/36781-party-poker.html)

Simme 03.03.2007 20:14
Party Poker
 
Hallo Leute,

ich habe mehrere online-Poker-Programme installiert und bekomme sie jetzt nicht mehr aus dem System raus. Kann ich die betreffenden Sachen mit Hi-jack-this blocken?

Danke im voraus und Grüsse

Logfile of HijackThis v1.99.1
Scan saved at 19:57:56, on 03.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\DOKUME~1\Resister\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\Resister\LOKALE~1\Temp\ScanningProcess.exe
C:\DOKUME~1\Resister\LOKALE~1\Temp\ScanningProcess.exe
D:\tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: eBay - {E4151B89-404A-45EA-A6CE-F48FBF363DFD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170441144875
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ML-2010 Status Monitor Service (SM_ml1600_FUService) - Unknown owner - C:\Programme\Samsung.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mellosun 03.03.2007 20:28
Gute Abend,

was meinst du, mit bekomme sie nicht aus dem System? Kannst du es nicht Deinstallieren?
Was kommt für eine Fehlermeldung?

Ist Dir das bekannt?

C:\DOKUME~1\Resister\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\Resister\LOKALE~1\Temp\ScanningProcess .exe

Bitte mal bei Jotti oder Virustotal auswerten lassen! Link in meiner SIG!
Poste bitte das gesamte Ergebniss, auch wenn nichts gefunden wird!


Gruß Mellosun

Simme 04.03.2007 01:21
Hallo Mellosun,

danke für Deine Hilfe. Ich bin leider ziemlich computerdumm, habe mich jetzt aber informiert, was ich tun muss, um PartyPoker komplett zu deinstallieren (Stichwort Registry).

Nun zum Virenthema. Bisher hatte ich noch nie Probleme. Hier die Ergebnisse von Virustotal.

Grüsse

Complete scanning result of "mexe.com", processed in VirusTotal at 03/04/2007 00:41:50 (CET).

[ file data ]
* name: mexe.com
* size: 403520
* md5.: 38302fab6c18ad7eb1add500679ebbe0
* sha1: bd301c4df9467454dda5f67b5544d403b1704670

[ scan result ]
AntiVir 7.3.1.38/20070302 found nothing
Authentium 4.93.8/20070302 found nothing
Avast 4.7.936.0/20070303 found nothing
AVG 386/20070303 found nothing
BitDefender 7.2/20070303 found [BehavesLike:Win32.FileInfector]
CAT-QuickHeal 9.00/20070302 found nothing
ClamAV devel-20060426/20070303 found nothing
DrWeb 4.33/20070303 found nothing
eSafe 7.0.14.0/20070228 found [suspicious Trojan/Worm]
eTrust-Vet 30.6.3449/20070303 found nothing
Ewido 4.0/20070303 found nothing
F-Prot 4.3.1.45/20070303 found nothing
F-Secure 6.70.13030.0/20070303 found nothing
FileAdvisor 1/20070304 found nothing
Fortinet 2.85.0.0/20070303 found nothing
Ikarus T3.1.1.3/20070303 found nothing
Kaspersky 4.0.2.24/20070303 found nothing
McAfee 4975/20070302 found nothing
Microsoft 1.2204/20070303 found nothing
NOD32v2 2093/20070303 found nothing
Norman 5.80.02/20070302 found nothing
Panda 9.0.0.4/20070303 found nothing
Prevx1 V2/20070304 found nothing
Sophos 4.14.0/20070303 found nothing
Sunbelt 2.2.907.0/20070301 found nothing
Symantec 10/20070303 found nothing
TheHacker 6.1.6.067/20070301 found nothing
UNA 1.83/20070302 found nothing
VBA32 3.11.2/20070303 found nothing
VirusBuster 4.3.19:9/20070303 found nothing

[ notes ]
packers: UPX
packers: UPX
packers: UPX

Complete scanning result of "ScanningProcess.exe", processed in VirusTotal at 03/04/2007 01:47:30 (CET).

[ file data ]
* name: ScanningProcess.exe
* size: 94313
* md5.: 231c78e871fb773564f3c9b778d61225
* sha1: d470f11c60a89697c2053003c39545c6967987ab

[ scan result ]
AntiVir 7.3.1.38/20070302 found nothing
Authentium 4.93.8/20070302 found nothing
Avast 4.7.936.0/20070303 found nothing
AVG 7.5.0.447/20070303 found nothing
BitDefender 7.2/20070304 found nothing
CAT-QuickHeal 9.00/20070302 found nothing
ClamAV devel-20060426/20070303 found nothing
DrWeb 4.33/20070303 found nothing
eSafe 7.0.14.0/20070228 found nothing
eTrust-Vet 30.6.3449/20070303 found nothing
Ewido 4.0/20070303 found nothing
F-Prot 4.3.1.45/20070303 found nothing
F-Secure 6.70.13030.0/20070303 found nothing
FileAdvisor 1/20070304 found nothing
Fortinet 2.85.0.0/20070303 found nothing
Ikarus T3.1.1.3/20070303 found nothing
Kaspersky 4.0.2.24/20070304 found nothing
McAfee 4975/20070302 found nothing
Microsoft 1.2204/20070304 found nothing
NOD32v2 2093/20070303 found nothing
Norman 5.80.02/20070302 found nothing
Panda 9.0.0.4/20070303 found [Suspicious file]
Prevx1 V2/20070304 found nothing
Sophos 4.14.0/20070303 found nothing
Sunbelt 2.2.907.0/20070301 found nothing
Symantec 10/20070303 found nothing
TheHacker 6.1.6.067/20070301 found nothing
UNA 1.83/20070302 found nothing
VBA32 3.11.2/20070303 found nothing
VirusBuster 4.3.19:9/20070303 found nothing

cronos 04.03.2007 03:36
@ simme

Start-->Systemsteuerung-->Software

Da sollten die installierten Pokerprogramme zu finden sein und sich ganz leicht entfernen lassen.
Ansonsten Rückmeldung.

Simme 04.03.2007 11:18
Hallo cronos,

danke für Deinen Hinweis. Trotz der Deeinstallation habe ich unter "Prgramme" Einträge von PartyPoker in meiner Firewall (Zone Alarm); auch das Logfile von HJT zeigt, dass Partypoker trotz einer Deeinstallation nicht wirklich weg ist.

Ich habe in einem anderen Forum gelesen, dass die online-Poker-Programme trotz einer Deeinstallation Registry-Einträge beibehalten, um Betrug zu vermeiden. Also muss man, beispielweise wenn man einen neuen Account anlegen will, die Registry-Einträge löschen.

In jedem Fall ist dieses Problem jetzt für mich gelöst.

Hat jemand von Euch Vorschläge zu der Auswertung von Virustotal? Handelt es sich bei mexe.com um einen Trojaner/Wurm, und wenn ja, wie kriege ich ihn weg.

Danke im voraus und

Grüsse

Vielleicht kann jemand damit was anfangen

malwarefund in mwav.exe (Escan) - Rokop Security

Mellosun 04.03.2007 11:48
Guten Morgen,

wenn du die Programme Deinstalliert hast, bleiben zu 99 % noch reste auf Deinen System.
Nutze die Suchfunktion von Windows. Lasse nach besagten suchen und Lösche alles was gefunden wird.
wenn du Dich mit der Registry auskennst, suche auch dort nach den verweisten Schlüsseln und lösche sie....mache aber vorher ein Backup der Registry, nur um sicher zu gehen!
Lösche die Erlaubnis zum Zugang ins Netz bei Deiner Firewall und schaue ob du noch meldungen bekommst, das das Programm versucht, sich mit dem Inet zu verbinden!

Was mit der mexe.com ist? kann ein neuer Virus sein aber kann auch ein Fehlalarm sein, da es nur von zwei Scannern angemeckert wird.

Schicke die datei einfach per Email an Kaspersky ( newvirus@kaspersky.com ). Packe sie mit Winrar und versehe sie mit einem Passwort. Schreibe das PW sowie einen kurzen Text, das du glaubst, das es sich um einen neuen Virus handelt, in die Email und warte was Kaspersky sagt.


Gruß Mellosun

Simme 04.03.2007 12:00
Jep....................

Simme 07.03.2007 18:51
Hallo,

von Kaspersky kam keine Rückmeldung. Auf jeden Fall habe ich E-Scan, SpyBot, Ad-Aware und Antivir durchlaufen lassen. Jetzt ist die fragliche mexe.com-Datei verschwunden. Hier das Ergebnis von HJT.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\PartyGaming\PartyGaming.exe
D:\tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: eBay - {E4151B89-404A-45EA-A6CE-F48FBF363DFD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170441144875
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ML-2010 Status Monitor Service (SM_ml1600_FUService) - Unknown owner - C:\Programme\Samsung.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Grüsse

P.S. Könnt ihr mir einen Link schicken, in dem erklärt bzw. aufgeschlüsselt wird wie ein Logfile entziffert werden kann.

undoreal 07.03.2007 19:00
Hallo

Dein log sieht sauber aus. Ein eScan log wäre schön gewesen aber wenn du meinst es selber auswerten zu können auch o.k.
Scan and clean Option benutzt.?. ;)

Ich würde sagen du bist entlassen..

mfg

Undoreal



PS: Hijackthis


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131