Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit Backdoor.prorat (https://www.trojaner-board.de/10658-problem-backdoor-prorat.html)

viper04 11.12.2004 19:44
Problem mit Backdoor.prorat
 
Hallo,
Ich bin neu hier, durch google bin ich hier gelandet und gleich mich registriert. Habe ein Problem. Die Suchliste hat mich nicht weitergebracht.

Norten Internet Sekurity hat ein Backdoor.prorat endeckt und ihn beseitigt. Obwohl ich OK Taste ca. 100 mal gedrückt habe, hat das Fenster sich nicht geschlossen. Bei jeder OK Taste kam eine andere hinweiss wie...

c/Windows/TMP/temp8A.temp
c/Windows/TMP/temp7A.temp
c/Windows/TMP/temp10D.temp
...

PC abschalten und wirus scannen hat nicht geholfen, immer wieder kam dieses Fehster zum erscheinen.

Durch Zufall habe ich endekt, dass Windows Sicherheitswarnung /Automatische Updates abgeschaltet war. Das habe ich aktiviert und plötzlich war das Fenster weg.

Meine Fragen:

-Was ist genau Passiert, war das ein Scherz oder ernshafte Problem?
-Wie kann ich dieses Problem lösen?

Für jede Hilfe bin ich dankbar

cacatoa 11.12.2004 20:20
Dazu muß man wissen, ob der prorat schon aktiv war (was ich in dem Fall nicht glaube) oder noch ist.
Poste ein HiJackThis Logfile rein.

viper04 12.12.2004 01:01
@cacatoa
danke für das Antwort

Ich bin wirklich ahnungslos, was das Logfile verursacht. Dacher habe ich das Logfile als PM zu dir geschickt.

Ich wuste nicht, ob ich bedenkenlos hier veröffentlichen soll. Das kannst du ja mir sagen.

Ich habe neue Virusprogramme runtergeladen, nochmal das ganze durchgeschekt, und nichts gefunden. Kein Ton über Backdoor.

Ich hoffe du kannst es besser beantworten.

Danke nochmals

MountainKing 12.12.2004 11:04
Da es sich hier nur um temporäre Dateien, sie also aus einem Zwischenspeicher stammen, ist damit noch nicht automatisch eine wirkliche Infektion verbunden. Die temporären Dateien werden auch immer wieder durch neue überschrieben, es kann also gut sein, dass diese Dateien ganz "natürlich" gelöscht wurden und du sie daher auch nicht mehr beim Scannen findest.

Das Logfile kannst du bedenkenlos posten, wie du in allen anderen Threads siehst, einzig Einträge, in denen man deinen Namen sieht, solltest du unkenntlich machen.

viper04 12.12.2004 12:45
@MountainKing

du hast ja recht mit tmp. Dateien.
Trotzdem lege ich ein Log vom Heute bei. Habe die Namensserver gelöscht, ist so ok.

Ich wäre dankbar, wenn jemand das Log analysieren kann.

Danke im Voraus

Logfile of HijackThis v1.98.2
Scan saved at 12:44:03, on 12.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe
C:\PROGRA~1\ULTRAE~1\uedit32.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{468CE428-DD2A-46C7-9483-3D60B11EB4EA}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B83620-ECAF-4F26-BA69-EB5CE79602B1}: NameServer =

cacatoa 12.12.2004 19:31
Hi, viper,
Dein Log ist sauber, somit ist MK´s Vermutung richtig; prorat war nicht aktiv.
Eine PN ist bei mir übrigens nicht angekommen, sonst hättest Du schon was von mir gehört.
cacatoa

viper04 12.12.2004 23:33
@cacatoa

danke für die Info.

Du hast mich beruhigt

Gruss


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131