Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich hab ein haufen Viren!!! (https://www.trojaner-board.de/59610-hab-haufen-viren.html)

Aulinger2000 11.09.2008 17:38
die datei exestiert nimma weil sie avira warscheindlich schon gelöscht hat

myrtille 11.09.2008 17:41
Die wichtige Frage ist: Habt ihr sie ausgeführt?

lg myrtille

Aulinger2000 11.09.2008 18:19
ich glaub schon...

EDIT:

schlimm?

myrtille 11.09.2008 19:40
Hi,

WENN die Datei ausgeführt wurde habt ihr euch wahrscheinlich einen Backdoor und Keylogger installiert. Dann würde ich euch raten: den Rechner neuaufsetzen und Passworte ändern.

Es wär halt gut zu wissen ob da was ist oder nicht.

Mach bitte einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Aulinger2000 11.09.2008 21:02
ach du heilige scheiße sieht ja heftig aus... kann ich da nicht einfach systemwiederherstellung vor einer woche oder so machen?

Aulinger2000 11.09.2008 21:43
Hallo! ich hab jetzt alles gemacht und poste hier mal die logs:

(Rootkit )

HKU\S-1-5-21-1659004503-1292428093-1801674531-1006\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 07.04.2008 20:01 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 27.11.2007 19:41 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 27.11.2007 19:41 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 11.09.2008 22:26 80 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \EMPIRE EARTH III .lnk 01.02.2008 13:02 1.75 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \EULA ansehen.lnk 01.02.2008 13:02 1.66 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \Handbuch ansehen.lnk 01.02.2008 13:02 1.51 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \LiesMich ansehen.lnk 01.02.2008 13:02 1.67 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \Sierra-Website besuchen.url 01.02.2008 13:02 223 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \Spiel registrieren.lnk 01.02.2008 13:02 1.60 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III \Spiel-Website besuchen.url 01.02.2008 13:02 227 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\EMPIRE EARTH III .lnk 01.02.2008 14:02 1.75 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\EULA ansehen.lnk 01.02.2008 14:02 1.66 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\Handbuch ansehen.lnk 01.02.2008 14:02 1.51 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\LiesMich ansehen.lnk 01.02.2008 14:02 1.67 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\Sierra-Website besuchen.url 01.02.2008 14:02 223 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\Spiel registrieren.lnk 01.02.2008 14:02 1.60 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sierra Entertainment\EMPIRE EARTH III\Spiel-Website besuchen.url 01.02.2008 14:02 227 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Lokale Einstellungen\Temp\Rar$EX00.453 11.09.2008 22:30 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Lokale Einstellungen\Temp\Rar$EX00.453\gmer.exe 17.04.2008 21:13 792.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Lokale Einstellungen\Temp\Rar$EX00.860 11.09.2008 22:28 0 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Lokale Einstellungen\Temp\Rar$EX00.860\gmer.exe 17.04.2008 21:13 792.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Lokale Einstellungen\Temp\Rar$EX00.938\Eula.txt 28.07.2006 08:32 6.84 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Lokale Einstellungen\Temp\Rar$EX00.938\RootkitRevealer.chm 07.12.2005 15:19 99.77 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Franz.AULINGER-D4E43C\Recent\catchme.lnk 11.09.2008 22:27 539 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 02.09.2008 22:18 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 02.09.2008 22:18 111.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 02.09.2008 22:18 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\GMER.EXE-11BE9D49.pf 11.09.2008 22:30 70.85 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\GMER.EXE-3A5F3D4F.pf 11.09.2008 22:28 68.67 KB Hidden from Windows API.

Catchme:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-11 22:21:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

bei dem gmer logfile gabs ein paar probleme poste ich in wenigen minuten werte die zwei derzeitig schon aus bitte

mfg. Aulinger

Aulinger2000 11.09.2008 21:53
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-11 22:52:28
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xB72A0A74]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xB72A048E]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xB72A016A]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xB72A1B92]
SSDT BAFFE194 ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xB72A0286]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xB72A036C]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xB72A0D38]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xB72A07D0]
SSDT BAFFE180 ZwOpenProcess
SSDT BAFFE185 ZwOpenThread
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwSetValueKey [0xB729FFDA]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwTerminateProcess [0xB72A0C76]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwWriteFile [0xB72A08FC]
SSDT BAFFE18A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS Das System kann die angegebene Datei nicht finden. !

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [017773CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[2044] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01777376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----
hier das letzte logfile bin ich ja mal gespannt jetzt...

myrtille 12.09.2008 00:53
Es ist nichts zu sehen.

Deine Entscheidung ob du neuaufsetzt oder nicht.

Aulinger2000 12.09.2008 09:33
Danke für die hilfe :P
 
Also als erstes bedanke ich mich mal für deine Hilfe :daumenhoc

Ich werde nicht aufsetzten den nur wegen einer avira Meldung ....

bei den logs war nichts zu sehen.....

Ich glaub das alles ok ist.

Danke nochmal :aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:46 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131