Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner eingefangen, bitte um Auswertung des Logfiles (https://www.trojaner-board.de/56464-trojaner-eingefangen-bitte-um-auswertung-logfiles.html)

E-Street 21.07.2008 19:34
Trojaner eingefangen, bitte um Auswertung des Logfiles
 
Hallo Leute, ich hab mir gestern Abend wohl einen Trojaner eingefangen.
Beim surfen sprang plötzlich der Bitdefender an und meldete, dass er was blockiert hätte.
Tiefgehende Systemüberpüfung brachte dann 3 infizierte Dateien ans Licht, von dene 2 gelöscht werden konnten. Als gefunden wurde angegeben "Exploit.ADODB.Stream.BU"
Bitdefender konnte die 3. Datei weder löschen noch sichern :confused:
Ich hab diese Datei dann manuell gesucht und den kompletten Ordnerinhalt gelöscht (waren irgendwie opera cache Dateien und es ging ohne Probleme Oo )

Hab danach Bitdefender noch 2 Mal ne tiefgehende Systemprüfung machen lassen, die nichts fand. Hab danach noch die Prozesse weitestgehend gegoogelt und nichts feststellen können. Hab allerdings auch wenig Ahnung von der Materie.
Es wäre nett, wenn sich jemand das Logfile durchsehen und mir sagen könnte, ob ich das Ding wirklich wieder losgeworden bin :)
Bitdefender und Vista sind auf dem neuesten Stand.

Danke für die Hilfe!

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:34, on 21.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\SEC\Natural Color Pro\NCProTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Alice\Signup\AliceCnn.exe
C:\Windows\system32\msfeedssync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\Opera\Opera.exe
E:\Systeminstallation\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: NCProTray.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Users\E-Street.EStreet-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Absolute Poker\Absolute Poker.lnk (HKCU)
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Users\E-Street.EStreet-PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Absolute Poker\Absolute Poker.lnk (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73879330-D644-4F5A-9BED-4485F34CFEC1}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 6180 bytes

Silent sharK 21.07.2008 19:44
Hallo,
die von dir angegebene Malware "Exploit.ADODB.Stream.BU" ist ein bewusst eingefügtes Exploit in eine Website, vermutlich von MPack.
Kannst du mir die anderen Schadprogramme nennen, die BitDefender meldete?

Ansonsten folge den Anweisungen von MalwareBytes, Link findest du in meiner Signatur.

mfg

E-Street 21.07.2008 20:10
Mh... ich hab die Bitdefender Logs durchgesehen.
Da steht aber jeweils nur drin, wann welche Art der Prüfung durchgeführt wurde und welche Bereiche geprüft wurden. Oo
Weiß jemand, ob man das nicht genauer haben kann? So sind die Logs ja recht sinnlos. :(
Also hab ich leider keine Ahnung mehr, was das für andere Sachen waren.
Aber wenn er die gestern gefunden hatte und heute nicht mehr anzeigt, müsste er sie ja eigentlich entfernt haben, oder?



MalwareBytes werd ich drüberlaufen lassen. Beißt sich das denn mit Bitdefender (vorher deaktivieren?) oder kann ich den währenddessen aktiviert lassen?


Danke schonmal :)

Silent sharK 21.07.2008 20:13
Naja, ist nicht so schlimm.

Ja, BitDefender bitte deaktivieren.
Mir ist zwar nicht bekannt, das die sich kreuzen, aber Sicher ist Sicher ;)

mfg

E-Street 21.07.2008 23:57
Ok, hab MalwareBytes drüberlaufen lassen.
Hat eine infizierte Datei gefunden. Die war allerdings schon 4 Monate alt.
Beim der Anweisung diese zu entfernen ist das programm leider abgestürzt.
Hab sie dann manuell gelöscht.

Hab das Programm dann nochmal drüberlaufen lassen und es hat nichts mehr gefunden.


Ich jag morgen jetzt nochmal Bitdefender drüber und wenn der auch wieder nichts findet geh ich davon aus, dass das System ok ist.
Oder?

Silent sharK 22.07.2008 12:42
Du kannst es auch mal mit dem probieren:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

E-Street 22.07.2008 18:50
Ok, werd ich bei Gelegenheit noch machen.

Aber wenn bitdefender und MalwareBytes nichts finden, dann dürfts doch ok sein, oder?

Was ist eigentlich mit meinem logfile? Sieht das ok aus?

Silent sharK 22.07.2008 18:53
Zitat:
Ok, werd ich bei Gelegenheit noch machen.

Aber wenn bitdefender und MalwareBytes nichts finden, dann dürfts doch ok sein, oder?
Eigentlich schon, ich wollte da nur sicher gehn.
Zitat:
Was ist eigentlich mit meinem logfile? Sieht das ok aus?
An dem Logfile ist nichts schädliches zu erkennen :daumenhoc

mfg

E-Street 22.07.2008 19:15
Ok, dann ein riesengroßes DANKESCHÖN :)

Silent sharK 22.07.2008 19:23
Kein Problem ;)

mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:18 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129