Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Manipulierte Bilddateien (https://www.trojaner-board.de/10430-manipulierte-bilddateien.html)

ria 05.12.2004 12:08
Manipulierte Bilddateien
 
Hi, per mail erhielt ich eine Bilddatei klo1.2.jpg
Geöffnet habe ich auch, es war aber nur Sch... zu sehen :snyper:
wie kriege ich heraus, ob darauf eine Backdoor-Datei installiert war
und ob mein Rechner infiziert, oder was auch immer ist?
Geprüft habe ich mit Virenschutz (-) Ad-Adware (-) gdi-scan (drei angreifbate Stellen) und Hijacks. :crazy:
Hier bräuchte ich Hilfe .................................................... :koch:



Logfile of HijackThis v1.97.7
Scan saved at 12:07:01, on 05.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG-KE~1\avgserv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\Drivers\SAP\FD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG-KE~1\avgcc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\Programme\Programme_PC_Allg\Hijack_\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\BayerR\Desktop\gdiscan.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\PROGRA~1\spybot\Programm\SPYBOT~2\SDHelper.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG-KE~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [BPP Disk Control Panel] C:\Programme\PrimeWorx\GlobalSafeDisk\disk_enc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra 'Tools' menuitem: Übersetzen (HKLM)
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D86C0C9-CDAC-481A-9C03-9B1C70A9B7D2}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B835FE-BFD3-4BE6-8B1E-4C7D3A960A3F}: NameServer = 194.97.173.125 194.97.173.124

cacatoa 05.12.2004 12:12
Bitte erstell ein neues Logfile mit HiJackThis Version 1.98.2 und poste es rein.

ria 05.12.2004 12:37
:dummguck: Also hier die Neueinscannung

Logfile of HijackThis v1.98.2
Scan saved at 12:35:20, on 05.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG-KE~1\avgserv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\Drivers\SAP\FD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG-KE~1\avgcc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\BayerR\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\PROGRA~1\spybot\Programm\SPYBOT~2\SDHelper.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [FD_SAP] C:\WINDOWS\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG-KE~1\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [BPP Disk Control Panel] C:\Programme\PrimeWorx\GlobalSafeDisk\disk_enc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D86C0C9-CDAC-481A-9C03-9B1C70A9B7D2}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{63B835FE-BFD3-4BE6-8B1E-4C7D3A960A3F}: NameServer = 194.97.173.125 194.97.173.124

cacatoa 05.12.2004 13:12
also, ich habe ein paar unbekannte Dateien gefunden, die aber bei genauerem Hinschauen zu Toshiba gehören.
Das hier solltest du bei jotti online scannen:
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\TPSMain.exe

Wenn du die folgenden nicht brauchst/willst, kannst du sie mit HJT fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm (file missing)
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll (file missing)

Die Adresse: NameServer = 194.97.173.125 194.97.173.124
kannst du hier prüfen; ob sie zu dir gehört; HJT ist sich darüber nicht sicher.

Bitte berichte über die Jotti-Ergebnisse.
Also, mach mal http://www.smiley-channel.de/grafike...technik014.gif
cacatoa

ria 05.12.2004 13:52
:kloppen: Die Überprüfung ergab: kein Virenbefall!!
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\TPSMain.exe

:kloppen: Rest fixiert.....erledigt.

Nun bleibt aber die Frage offen ob ich durch diese Sch...
Datei was eingefangen habe oder nicht?!! :confused:
Willst sehen??
Es ist nähmlich ganz gemein.......

ria 05.12.2004 13:59
Die IP Adresse mit ipX- gescannt:: dus2.cns.mcbone.net
und nach

DNS-Server: ns1.kloth.net
DNS-Server-Adresse: 213.133.98.149#53

** server can't find 194.97.173.125\032194.97.173.124.: NXDOMAIN

was ist richtig???

cacatoa 05.12.2004 14:51
mcbone ist richtig; ob das allerdings von dir gewünscht ist, weiß ich nicht.
Den Test, ob du dir was eingefangen hast machst du über eScan (mwav.exe runterladen, in einen zuvor von Dir erstellten Ordner C:\bases (wichtig) entpacken, dann updaten (kavupd.exe), dann scannen (mwavscan.com), dabei alle Häkchen setzen vor allem: scan all local drives)
Bitte das Ergebnis reinposten: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected und/oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
cacatoa

ria 05.12.2004 17:35
Hi,
ob ich diese bone-Datei möchte weiß ich nicht, denn sagen tut sie mir nur wenig. Wenn ich nicht das Gefühl hätte, dass sich ein Spion im System befindet, würde ich nur interessiert fragen wozu das gut sein soll, so aber bin ich sehr interessiert zu erfahren, ob der Eintrag für Missbrauch verwendet werden kann. :confused:

Nun im weiteren ich hoffe sehr alles richtig gemacht zu haben, es hat ja auch mit der Beschreibung gut funktioniert :daumenhoc .. bis zum Scan. Hier weiß ich nicht ob das Ergebnis richtig ist (alle Häckchen sind gesetzt)::

Als Meldung bekomme ich bei "infected /tagged", dass es nicht gefunden werden kann.

Hinter view log erscheint Folgendes

Sun Dec 05 17:05:03 2004 => **********************************************************
Sun Dec 05 17:05:03 2004 => eScan AntiVirus Toolkit Utility.
Sun Dec 05 17:05:03 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Dec 05 17:05:03 2004 => **********************************************************
Sun Dec 05 17:05:03 2004 => Version 4.1.9
Sun Dec 05 17:05:03 2004 => Log File: C:\bases\mwav.log
Sun Dec 05 17:05:03 2004 => Latest Date of files inside MWAV: 05 Dec 2004 18:01:01.
Sun Dec 05 17:05:03 2004 => AV Library Loaded...
Sun Dec 05 17:05:03 2004 => Scanning File C:\bases\kavss.exe
Sun Dec 05 17:05:03 2004 => Scanning File C:\bases\Getvlist.exe
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavss.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavssdi.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavssi.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\kavvlg.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\msvlclnt.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\ipc.dll
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\main.avi
Sun Dec 05 17:05:04 2004 => Scanning File C:\bases\virus.avi
Sun Dec 05 17:05:04 2004 => Virus Database Date: 2004/12/05
Sun Dec 05 17:05:04 2004 => Virus Database Count: 111557
Sun Dec 05 17:07:10 2004 => Generating Virus List... getvlist.exe C:\bases\vlist.txt
Sun Dec 05 17:14:21 2004 => Generating Virus List... getvlist.exe C:\bases\vlist.txt

Heißt das, das nichts auf dem Rechner ist, oder das etwas nicht korrekt ausgeführt ist?
Bis dann....

chaosman 05.12.2004 17:40
@ria
Als Meldung bekomme ich bei "infected /tagged", dass es nicht gefunden werden kann.

dann müßte doch alles ok sein.

per mail erhielt ich eine Bilddatei klo1.2.jpg
Geöffnet habe ich auch, es war aber nur Sch... zu sehen
nächstes mal nicht so neugierig sein, gell ;)

chaosman :D

cacatoa 05.12.2004 17:43
So wie es aussieht, hast du gar nicht gescannt...
Lies Dir meinen post nochmal genau durch. Vor dem scannen unbedingt Häkchen bei: scan all local drives!
Vergleiche mal Deine eigene IP.
Nach dem richtigen Scan bitte noch mal das Log von escan. An das Log kommst Du so, wie ich es im letzten post beschrieben habe!

cacatoa 05.12.2004 17:44
@ chaosman:
Sie hat nicht gescannt, sonst müßte zu sehen sein, wieviele files geprüft wurden; geprüft wurde aber nur der Ordner C:\bases....

Haui45 05.12.2004 17:46
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

ria 05.12.2004 19:22
Hi, die Arbeit ist getan......
Hier das Ergebnis::

D:\Programme\Programme_PC_Allg\CD_PC_Welt\Passwort\iopus-pwdrec-setup-de.exe
Sun Dec 05 18:48:20 2004 => File D:\Programme\Programme_PC_Allg\CD_PC_Welt\Passwort\iopus-pwdrec-setup-de.exe infected by "Backdoor.Win32.Optix.Pro.13" Virus. Action Taken: File Renamed.


Sun Dec 05 18:52:12 2004 => Total Number of Files Scanned: 37686
Sun Dec 05 18:52:12 2004 => Total Number of Virus(es) Found: 2
Sun Dec 05 18:52:12 2004 => Total Number of Disinfected Files: 0
Sun Dec 05 18:52:12 2004 => Total Number of Files Renamed: 1
Sun Dec 05 18:52:12 2004 => Total Number of Deleted Files: 0
Sun Dec 05 18:52:12 2004 => Total Number of Errors: 3
Sun Dec 05 18:52:12 2004 => Time Elapsed: 00:36:06
Sun Dec 05 18:52:12 2004 => Virus Database Date: 2004/12/05
Sun Dec 05 18:52:12 2004 => Virus Database Count: 111557

Sun Dec 05 18:52:12 2004 => Scan Completed.


Darüberhinauswar noch ein Virus angezeigt, allerdings als nicht aktiv ::
Pegasus\Version421\Englisch\w32-421c.exe tagged as not-a-virus:ToolWinReboot, No Action Taken

Also bis auf diesen verseuchten pc-Welt (????!!!! :koch: !!!???) -Eintrag scheint kein Virus auf dem Rechner zu hausieren.
Kein Backdoor, Spion oder was auch immer.
Was machr dann diese Sch......-Bild auf dem Rechner????!! :koch:
War das eine Aufregung um sonst, oder könnte noch was kommen, z.B beim vernichten??? :balla:

cacatoa 05.12.2004 19:43
Hallo, ria,
wie schon im escan beschrieben, handelt es sich um einen Backdoor-Trojaner, erkannt von allen bekannten scannern. Schau mal hier. Informiere Dich über Backdoortrojaner hier im board oder bei Tante google. Ich glaube, ich bin nicht der einzige, der Dir zum Neuaufsetzen des Systems rät.
Sorry http://www.smiley-channel.de/grafike...traurig020.gif

Edit: siehe auch hier.

charlie1 06.12.2004 02:49
Also, wenn dir schon einer so einen Klassiker wie Optix übergeholfen hat, hat der das Teil auch benutzt, =>alle Passwörter ändern und das ganz schnell!
Mich aber persönlich, würde der Infektionsweg interessiere, war das Ding wirklich in einem Bild implantiert? Und von wem hast du die Mail?
Liebe Grüße, Charlie

charlie1 06.12.2004 06:45
@ Cacatoa, ich ahne hier nichts Gutes, sollte es doch schon einer gewagt und auf die Reihe bekommen haben?!
Liebe Grüße, Charlie

@ ria, Hi, per mail erhielt ich eine Bilddatei klo1.2.jpg, Frage; hast du das Zeug noch?

cacatoa 06.12.2004 09:22
@ charlie
Hab ich mir auch schon gedacht. Und hat sich den optix als Plattform gewählt, oder?
Oder nur mal einen Versuch gestartet, ob´s so funktioniert, wie Du schon beschrieben hast; dazu bräuchte er ja dann den Optis nicht.

charlie1 06.12.2004 09:44
Optix ist nicht die Plattform, da kann man auch jedes andere Teil nehmen.
Auch bekannt ist schon, wie man die Dinger in ein Bild packt, aber die andere Sache, die ich dir in einer PN am 25.11. gepostet habe, kann richtig gemein werden, falls dass einer gemacht hat, dann mal gute Nacht.
Liebe Grüße, Charlie
PS: Die AV Hersteller sind aber schon seit langer Zeit vorbereitet und werden das Kind schon schaukeln.

ria 06.12.2004 19:17
Hi, zunächst super, dass ihr euch um diese Sch.. kümmert.
Ich verstehe nur so viel, dass ihr meint etwas Neues enteckt zu haben.

@charlie1: ja ich habe die Bilddatei, wenn ihr mir sagt, wie ich es mit der "Pinzette" anfassen kann, dann bekommt ihr es postwendend.

@cacatoa
wenn ich irgendwie feststellen könnt, ob mein System schon vorher infiziert war, könnte sich das Bildatei als nur ein Scheinangriff entpuppen.
Nur traue ich mich im Augenblick nicht eine vorherige Systemstand zu installieren.
Ich habe, wie schon erwähnt ,ein Spion im System vermutet, einen, den ich selber hereingelassen habe.
Bis dann
ria

charlie1 06.12.2004 19:30
Hi, mir einfach senden. prochaskakh@web.de
Liebe Grüße, Charlie, ach so packen und mit Passwort versehen.

ria 06.12.2004 20:08
:o wie packen??
mein winZip komprimiert kein Mails?!!
Ehrlich ich habe respekt vor dem auf dem Rechner.
Sonst würde ich über Desctop versenden...... :dummguck:

Haui45 06.12.2004 20:11
Du sollst nur das Bild packen und mit Passwort versehen. Dann an die Mail anhängen.
mfg Haui

charlie1 06.12.2004 21:21
@ria, mal was anderes, ist der Optix eigentlich schon runter und hast du deine Passworte geändert, dass ist erst mal das Wichtigste!
Die andere Sache kommt später.
LG, Charlie

charlie1 08.12.2004 05:58
Hallo Ria, also die Datei, so wie sie bei mir angekommen ist, ist sauber, muss aber nichts bedeuten, denn du hast sie über gmx gesendet und nicht mit Passwort versehen, ich glaube, weiß es aber nicht, gmx kontrolliert den Postausgang auf Schädlinge.
Kann aber auch sein, dass wir etwas nicht gefunden haben, deswegen würde ich gerne die Datei an Christian senden, natürlich nur wenn du das erlaubst, denn mehr kann in so einem Falle, auch mal mehr helfen.
Übrigens, ich habe unter Eigenschaften, nichts aufregendes gefunden und das macht mich stutzig und lässt mich vermuten, das gar nicht alles angekommen ist.
So, nun noch die andere Sache, du hast, oder hattest einen Optix, dass ist ganz sicher, egal wie der nun in deiner Maschine gekommen ist, der wurde dir übergeholfen und wenn das wer macht, nutzt der den auch!!!
Also alles was in deinem PC ist, weiß der auch!!!
Also bitte gehe zu erst auf das Problem ein, denn das ist das Wichtigste! ( ist das Teil nun weg oder nicht?)
Liebe Grüße, Charlie

ria 08.12.2004 17:11
Hallo Charlie,
dein mail server hat Folgendes gemeldet

Viruses found in the attached files.
The attached file system-web.zip is infected by I-Worm/Sober.I. The attachment was removed from the mail.
The original message follows:
Folgende Fehler wurden aufgezeichnet: ...... hier folgte eine Liste



Übrigens beachte bitte unbedingt meine neue Sendung, und weitere kluge Köpfe können nicht schaden.
Viele Grüße
ria

charlie1 08.12.2004 21:34
Na nun kann es ja heiter werden!!!
Liebe Grüße, Charlie

Nachtrag; poste die Datei bitte mal an: partytime-germany.ice@web.de, denn bei mir ist sie wieder sauber angekommen.

jettic 14.12.2006 18:58
Also ich hab auch ne verdächtige Bilddatei, bei Rechtsklick stehen nur diese Optionen zur verfügung:
http://ciadoor.ci.funpic.de/images/screens/bild.jpg

sie lässt sich nicht verschieben oder sonstiges, wenn ich mit Editor öffnen will steht da nur Zugriff verweigert :headbang:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131