Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile bitte prüfen, ICQ-Virus (https://www.trojaner-board.de/40788-logfile-bitte-pruefen-icq-virus.html)

[-UFO-]Melkor 09.07.2007 21:10
Logfile bitte prüfen, ICQ-Virus
 
'Ne Freundin von mir hat anscheinend einen Virus/Trojaner auf ihrem PC, jedenfalls verschickt ihr ICQ-Account Virenmeldungen und nun kann sie sich gar nicht mehr bei ICQ anmelden.

Hier die ICQ-Nachricht:
Code:
*****, 09.07.2007 20:21:55:
Hi, you've just received a postcard.
For:
*************
From:
*****
Text:
Please vote for me!
Postcard:
Click on attachment to view a postcard.
----
ICQ Postcards.
h**p://8565.zasedbeirunkiontunhawe.com/pics/6760/
Und hier das HiJackThis-logfile:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 21:42:36, on 09.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\msk.exe
C:\WINDOWS\sysc10trg.exe
C:\WINDOWS\system32\ppc.exe
C:\WINDOWS\system32\skp32.exe
C:\WINDOWS\plg.exe
C:\WINDOWS\system32\teg.exe
C:\WINDOWS\system32\bass.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMAIN.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\WINDOWS\System32\winfpgpc.exe
C:\Programme\Norton Internet Security\CfgWiz.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.  2.  1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DDWMon] C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [msk.exe] C:\WINDOWS\system32\msk.exe s
O4 - HKLM\..\Run: [cnndiag] C:\WINDOWS\sysc10trg.exe
O4 - HKLM\..\Run: [ppc.exe] C:\WINDOWS\system32\ppc.exe s
O4 - HKLM\..\Run: [himem.exe] C:\WINDOWS\system32\servsq.exe -s
O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\system32\servsq.exe
O4 - HKLM\..\Run: [mhl.exe] C:\WINDOWS\system32\skp32.exe s
O4 - HKLM\..\Run: [msnmsgr.exe] C:\WINDOWS\system32\msnmsgr.exe -s
O4 - HKLM\..\Run: [plg] C:\WINDOWS\plg.exe s
O4 - HKLM\..\Run: [msnmsg.exe] C:\WINDOWS\system32\msnmsg.exe -s
O4 - HKLM\..\Run: [teg.exe] C:\WINDOWS\system32\teg.exe s
O4 - HKLM\..\Run: [bass.exe] C:\WINDOWS\system32\bass.exe s
O4 - HKLM\..\Run: [msmsgr.exe] C:\WINDOWS\system32\msmsgr.exe -s
O4 - HKLM\..\Run: [vpgr.exe] C:\WINDOWS\system32\vpgr.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {91EA1270-BB29-4501-BA88-FCCE6BBE0BB8} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/online/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  webhsbe.dll e1.dll confcnn.dll e0xl9pvsp2.dll e2vst1jl.dll j6w5b1ksec.dll h435adlc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winfpgpc - C:\WINDOWS\system32\winfpgpc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
Wäre schön, wenn sich das jemand mal anschauen würde.

KarlKarl 09.07.2007 22:08
Hi,

das System besteht ja fast nur noch aus Malware. Sofort vom Netz trennen, formatieren und neu installieren. Hier übrigens die Auswertung der Datei, zu der Link führt:

Code:
Complete scanning result of "postcard.exe", received in VirusTotal at 07.09.2007, 23:01:07 (CET).

Antivirus        Version        Update        Result
AhnLab-V3        2007.7.7.0        07.09.2007        Win32/Stration.worm.Gen
AntiVir        7.4.0.39        07.09.2007        TR/Crypt.XDR.Gen
Authentium        4.93.8        07.07.2007        no virus found
Avast        4.7.997.0        07.09.2007        Win32:Warezov-CKS
AVG        7.5.0.476        07.09.2007        I-Worm/Stration
BitDefender        7.2        07.09.2007        DeepScan:Generic.Stration.CDC22FCE
CAT-QuickHeal        9.00        07.09.2007        I-Worm.Warezov.pi
ClamAV        devel-20070416        07.09.2007        Worm.Stration-AQP
DrWeb        4.33        07.09.2007        Win32.HLLM.Limar
eSafe        7.0.15.0        07.08.2007        Win32.Stration.CX
eTrust-Vet        30.8.3774        07.09.2007        no virus found
Ewido        4.0        07.09.2007        Worm.Warezov.pi
FileAdvisor        1        07.09.2007        no virus found
Fortinet        2.91.0.0        07.09.2007        W32/Stration.PI@mm
F-Prot        4.3.2.48        07.09.2007        no virus found
Ikarus        T3.1.1.8        07.09.2007        Trojan-Spy.Win32.Agent.hz
Kaspersky        4.0.2.24        07.09.2007        Email-Worm.Win32.Warezov.pi
McAfee        5070        07.09.2007        W32/Stration@MM
Microsoft        1.2704        07.09.2007        Trojan:Win32/Stration.gen!dr
NOD32v2        2386        07.09.2007        a variant of Win32/Stration.XJ
Norman        5.80.02        07.09.2007        W32/Suspicious_U.gen
Panda        9.0.0.4        07.09.2007        Trj/SpamtaLoad.EI
Sophos        4.19.0        07.06.2007        W32/Strati-Gen
Sunbelt        2.2.907.0        07.07.2007        Email-Worm.Win32.Warezov.pi
Symantec        10        07.09.2007        W32.Stration.CX@mm
TheHacker        6.1.6.144        07.09.2007        W32/Warezov.pi
VBA32        3.12.0.2        07.08.2007        MalwareScope.Worm.Warezov.1
VirusBuster        4.3.23:9        07.09.2007       
Webwasher-Gateway        6.0.1        07.09.2007        Trojan.Crypt.XDR.Gen

Aditional Information
File size: 91587 bytes
MD5: 99d1a39a36b48e71495a3a4f2a9a297c
SHA1: cc221d3983297c05c24d24a65a8961691681fb1b
packers: Upack
packers: UPACK
packers: UPack
Da ist nichts mehr zu retten, also erspare es wenigstens anderen,

Gruß, Karl

cosinus 09.07.2007 22:16
Boah...so viele Schädlingseinträge in EINEM Logfile hab ich auch schon lange nicht mehr gesehen :schmoll:
Da kann ich KarlKarl nur zustimmen, eine Bereinigung wäre verschenkte Zeit und verantwortungslos den anderen Internet-Teilnehmern gegenüber...

[-UFO-]Melkor 09.07.2007 22:28
Dann werde ich mich wohl mal mit ihr da dransetzen müssen.
Vielen Dank für eure Hilfe Leute, euer Service hier ist echt klasse :)

mmk 10.07.2007 02:16
Ein erster Hinweis noch zum LogFile: Das Problem bei ihr scheint nicht nur das unüberlegte Klicken auf zugesandte ICQ-Links und das anschließende Öffnen bzw. Ausführen der darüber geladenen Dateien zu sein - auch fehlen wichtige Updates: Zum Beispiel ist die verwendete Java-Version eine alte, sodass prinzipiell erhebliche Sicherheitslücken allein schon beim normalen Surfen im Web bestehen.

Ich fürchte, das wird nicht die einzige dieser Lücken (gewesen) sein - hier sollte dringend nachgebessert werden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131