Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdacht auf backdoortrojaner (https://www.trojaner-board.de/76348-verdacht-backdoortrojaner.html)

lok1 12.08.2009 23:38

Verdacht auf backdoortrojaner
 
hi leute,

bevor ich vor 2 wochen in den urlaub gefahren bin, hat mein Virenscanner (avg) einen backdoortrojaner gemeldet. daraufhin hab ich "in quarantäne verschieben" gewählt, was wahrscheinlich nicht viel gebracht hat, oder?
jedenfalls hab ich nicht versucht ihn zu löschen doer so, da ich dann in den urlaub gefahren bin.
ich wäre euch sehr dankbar, wenn jemand mein HJT-logfile auf ungereimtheiten überprüfen würde. oder soll ich gleich sicherheitshalber formatieren?

wäre euch sehr verbunden wenn ihr mir antworten könntet

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:40, on 12.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Pidgin\pidgin.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\tschäggie\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5376 bytes

mfg
lok1

nochdigger 13.08.2009 07:04

Hallo und :hallo:

dein Hijackthis Log ist erstmal unauffällig.

Zitat:

bevor ich vor 2 wochen in den urlaub gefahren bin, hat mein Virenscanner (avg) einen backdoortrojaner gemeldet.
Was wurde wo von AVG angemeckert (Pfad/Dateiname - Schädlingsbezeichnung)?

MFG

lok1 13.08.2009 15:48

danke schonmal für die schnelle antwort!

jetzt fällt mir auch wieder ein woher der virus kam. ich depp wollte mir mal ein spiel für mein handy runterladen (wegen der langen busfahrt) und zack gleich nen virus eingefangen

der pfad ist: D:\...\TETRIS MANIA AND ORIGINAL TETRIS FOR 240X320 PHONES (JAR FORMAT) .exe
und 2 tage später: "D:\System Volume Information\_restore{7B51A3C9-E24E-4CAC-8212-B8382C473A00}\RP397\A0079943.exe"

beide mit der bezeichnung "Trojaner: BackDoor.Generic11.AFSH";

kann es sein, dass der trojaner was damit zu tun hat, dass nach dem start von windows xp immer die meldung kommt "avgnsx.exe hat ein problem festgestellt und musste beendet werden ..."

danke nochmal

nochdigger 13.08.2009 20:52

Hallo

bitte lass die Datei
Zitat:

D:\...\TETRIS MANIA AND ORIGINAL TETRIS FOR 240X320 PHONES (JAR FORMAT) .exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Wo hast du die Datei her:rolleyes: und wurde sie schon ausgeführt?

MFG

lok1 13.08.2009 23:21

die datei hab ich leider schon gelöscht:rolleyes:
ob sie ausgeführt wurde...hmm, ich glaub die war gepackt und als ich es mit winrar geöffnet hatte kam schon gleich die fehlermeldung, das weiß ich aber nur zu 90%, ganz sicher bin ich nicht

achja, die quelle weiß ich nicht mehr, ich hatte danach gegoogelt. nicht unbedingt vertrauenswürdig würde ich sagen^^

nochdigger 14.08.2009 06:10

Hallo

Zitat:

die datei hab ich leider schon gelöscht
schlecht
Zitat:

achja, die quelle weiß ich nicht mehr...
auch schlechthttp://fc03.deviantart.com/fs16/f/20...y_Asmodiel.gif

Zitat:

ob sie ausgeführt wurde...hmm, ich glaub die war gepackt und als ich es mit winrar geöffnet hatte kam schon gleich die fehlermeldung, das weiß ich aber nur zu 90%, ganz sicher bin ich nicht
Führe ein Update deines AVG durch und deaktiviere bitte anschließend die Systemwiederherstellung

Systemwiederherstellung

Wechsel dann in den abgesicherten Modus (beim Start F8 drücken) von Windows und führe einen Komplettscan durch, anschließend poste das Ergebnis hierher.
Zur Gegenkontrolle das System hier
Free Virus Scan - Kaspersky Lab
und hier
Free Online Virus Scan - BitDefender Online Scanner
prüfen lassen und ebenfalls die Ergebnisse hierher posten.

EDIT:Ändere bitte von einem sauberen System aus alle Pass- und Kennwörter.

MFG

lok1 15.08.2009 17:03

AVG Scanreport:

Code:

AVG 8.5 Anti-Virus Befehlszeilenscanner
Copyright (c) 1992 - 2009 AVG Technologies
Programmversion 8.0.354, Engine 8.0.387
Virendatenbank: Version 270.13.56/2302 2009-08-14

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\name\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\name\NTUSER.DAT Gesperrte Datei. Nicht getestet.
C:\Dokumente und Einstellungen\name\ntuser.dat.LOG Gesperrte Datei. Nicht getestet.
C:\pagefile.sys Gesperrte Datei. Nicht getestet.
C:\System Volume Information\ Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\default Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\default.LOG Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\SAM Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\SAM.LOG Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\SECURITY Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\SECURITY.LOG Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\software Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\software.LOG Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\system Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\config\system.LOG Gesperrte Datei. Nicht getestet.
C:\WINDOWS\system32\drivers\sptd.sys Gesperrte Datei. Nicht getestet.
D:\System Volume Information\ Gesperrte Datei. Nicht getestet.
E:\System Volume Information\ Gesperrte Datei. Nicht getestet.
F:\System Volume Information\ Gesperrte Datei. Nicht getestet.

------------------------------------------------------------
Gescannte Objekte: 228684
Gefundene Infektionen:    0
Gefundene unerwünschte Programme:    0
Bereinigte Infektionen:    0
Bereinigte unerwünschte Programme:    0
Warnungen:    0
------------------------------------------------------------

kaspersky hat auch nichts gefunden. dauert ewigkeiten, deswegen hab ich jetzt den bitdefender online scan gelassen. da plätt ich lieber gleich den pc, geht ja schneller.
wie sicher kann ich jetzt sein, dass ich keinen trojaner auf dem pc habe?

nochdigger 16.08.2009 05:19

Hallo

der
Zitat:

AVG Scanreport:
ist ok

Zitat:

kaspersky hat auch nichts gefunden
gut:dummguck:

Zitat:

wie sicher kann ich jetzt sein, dass ich keinen trojaner auf dem pc habe?
es sieht ganz gut aus aber 100% kann dir niemand und kein Programm der Welt garantieren.

Zitat:

da plätt ich lieber gleich den pc, geht ja schneller.
wenn du damit kein Problem hast - gut - es wäre die schnellste und sicherste Variante.

Die betroffene Datei gab es in der Form nur auf Torrentseiten zu finden:(, lass zukünftig besser die Finger davon, es haben bestimmt 50% der Programme kleine Geschenke dabei, die niemand haben will.

MFG

lok1 16.08.2009 19:13

alles klar, werd ich machen!
danke dir vielmals für die schnelle und kompetente Hilfe! sehr sozial!
habe großen respekt, dass ihr euch immer mit den gleichen noobs und selben Fragen abplagt.

mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:04 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129