Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rechner stürzt sehr häufig ab / FireDaemon.exe startet ?? (https://www.trojaner-board.de/38254-rechner-stuerzt-sehr-haeufig-ab-firedaemon-exe-startet.html)

lammi 22.04.2007 23:56
Rechner stürzt sehr häufig ab / FireDaemon.exe startet ??
 
Hallo,

habe folgendes Problem: seit kurzem hängt sich mein Rechner ziemlich häufig auf
und beim starten des Rechners startet sich FireDaemon.exe und schliesst sich nach ein paar Sekunden wieder. Ich denke da habe ich mir wohl was eingefangen...
Hatte vor einiger Zeit auch einige gefunden und gelöscht, allerdings sagt mir mein Virenprogramm (Antivir PE) das mein System zur Zeit nicht infiziert ist.
Vielleicht weiss hier ja jemand rat...

Hier mein HijackThis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:37:51, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Dokumente und Einstellungen\++++\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - (no file)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\Programme\Wecker6\WfWIEButton.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\Programme\Wecker6\WfWIEButton.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3712540C-3EFB-4507-B7C0-FF5216C2D5F0}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5C3676-36CF-4B8C-B460-67A536E29A0F}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Belkin 54Mbps Wireless USB Network Service (Belkin 54Mbps Wireless USB) - Unknown owner - C:\Programme\BELKIN USB Wireless Monitor\WLService.exe (file missing)
O23 - Service: DirectX Service (DirectHysw) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: FireDaemon Service: ecure (ecure) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: FireDaemon Service: svchost1 (svchost1) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Vielen Dank im voraus....

cosinus 23.04.2007 00:47
Zitat:
O23 - Service: FireDaemon Service: svchost1 (svchost1) - Unknown owner - C:\WINDOWS\Temp\FireDaemon.EXE
Ja hier haben wir ihn doch, sieht übel aus. Ein Dienst aus dem Tempordner heraus zu starten, nein... :blabla:
Werte die Datei

C:\WINDOWS\Temp\FireDaemon.EXE

bitte bei Virustotal aus und poste sämtliche Ergebnisse.

lammi 24.04.2007 15:52
Danke erstmal für die schnelle Hilfe, hatte ich garnicht grauf geachtet das die exe Datei im Temp-Ordner lag :huepp: ... Spricht ja eigentlich schon für sich..
Tja so wie es aussieht habe ich mir wohl evtl. nen Backdoor eingefangen der über einen Remote-Prozess Zugriff auf meinen Rechner hat und Ihn sogar vernsteuern kann !?

Hier die Ergebnisse von VirusTotal:

Complete scanning result of "FireDaemon.exe", received in VirusTotal at 04.24.2007, 16:36:45 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.25.0 04.24.2007 Win-AppCare/FireDaemon
AntiVir 7.4.0.14 04.24.2007 no virus found
Authentium 4.93.8 04.24.2007 no virus found
Avast 4.7.981.0 04.23.2007 Win32:Trojan-gen. {VC}
AVG 7.5.0.464 04.23.2007 Adware Generic.JDR
BitDefender 7.2 04.24.2007 no virus found
CAT-QuickHeal 9.00 04.23.2007 RiskWare.RemoteAd (Not a Virus)
ClamAV devel-20070416 04.24.2007 no virus found
DrWeb 4.33 04.24.2007 no virus found
eSafe 7.0.15.0 04.23.2007 no virus found
eTrust-Vet 30.7.3592 04.24.2007 no virus found
Ewido 4.0 04.24.2007 Not-A-Virus.RemoteAdmin.Win32.RA.3826
FileAdvisor 1 04.24.2007 No threat detected
Fortinet 2.85.0.0 04.24.2007 NMT/FireDaemon
F-Prot 4.3.2.48 04.24.2007 W32/RemoteAdmin.D
F-Secure 6.70.13030.0 04.24.2007 no virus found
Ikarus T3.1.1.5 04.24.2007 not-a-virus:RemoteAdmin.Win32.RA.3826
Kaspersky 4.0.2.24 04.24.2007 not-a-virus:RemoteAdmin.Win32.RA.3826
McAfee 5015 04.23.2007 potentially unwanted program FireDaemon
Microsoft 1.2405 04.24.2007 RemoteAccess:Win32/GhostRadmin
NOD32v2 2215 04.24.2007 Win32/FireDaemon
Norman 5.80.02 04.24.2007 W32/RA.T
Panda 9.0.0.4 04.23.2007 Application/Firedaemon.A
Prevx1 V2 04.24.2007 RiskWare.RemoteAdmin.RA.3826
Sophos 4.16.0 04.23.2007 FireDaemon
Sunbelt 2.2.907.0 04.19.2007 Backdoor.Win32.ServU-based
Symantec 10 04.24.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 Aplicacion/FireDaemon
VBA32 3.11.4 04.23.2007 no virus found
VirusBuster 4.3.7:9 04.24.2007 no virus found
Webwasher-Gateway 6.0.1 04.24.2007 Riskware.RemoteAdmi.RA.2

Aditional Information
File size: 81920 bytes
MD5: e3bb90916eb76946eb51f563ffe526f7
SHA1: 12c5bbb6a0a62cad8a27b37804ef6af80ec31db0
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=e3bb90916eb76946eb51f563ffe526f7
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=28a2654982

Kann mir jemand eins von den oben genannten oder ein anderes Virenprogramm oder ähnliches empfehlen was meinen Rechner wieder säubert?

Die Exe Datei im Temp-Ordner ist ja mit Sicherheit dann nicht die einzige verseucht Datei auf meinem System...

Bin für jede Hilfe dankbar:aplaus:

cosinus 24.04.2007 21:51
Zitat:
Kann mir jemand eins von den oben genannten oder ein anderes Virenprogramm oder ähnliches empfehlen was meinen Rechner wieder säubert?
Du hast das Teil nicht selber angelegt, also muss man annehmen, dass Dritte Zugang zu deinem Rechner haben/hatten!
Das beste Programm in diesem Fall => "format" (oder gar DBAN) oder ein ähnliches, welches die Platten schön säubert. Folge dem Link "Neu aufsetzen" in meiner Sig. Ändere nach entsprechender Absicherung SÄMTLICHE Passwörter.

Ggf. solltest du zur Beweissicherung ein Image von diesem jetzigen kompromittierten System anfertigen, damit du was im Zweifelsfalle was in der Hand hast...

Und auch mal über die Surfgewohnheiten nachdenken, denn dein Sicherheitskonzept scheint nicht das beste zu sein. Virenscanner und PFW haben diesen katastrophalen Befall ja nicht vehindern können!


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:14 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129