Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Probleme mit Startseite (https://www.trojaner-board.de/11263-probleme-startseite.html)

Chucksniff 27.12.2004 15:34
Okay, also hier das Escan-Ergebnis:

Mon Dec 27 15:03:21 2004 => File C:\Björn\Hijack\backups\backup-20041227-135612-890 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Mon Dec 27 15:22:06 2004 => File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: File Deleted.

Mon Dec 27 15:22:57 2004 => File C:\WINNT\loadnew.exe infected by "TrojanDownloader.Win32.Harnig.ad" Virus. Action Taken: File Deleted.

cacatoa 27.12.2004 16:54
Also, jetzt haben fertig. ;)

Chucksniff 28.12.2004 10:16
Wahnsinn! Ihr seid ja echt auf Draht! Würd Dir jetzt echt gern nen Kasten Bier spendieren Cacatoa! Tausend Dank! Und jetzt rollen hier erstmal Köpfe! Ach ja: Wo bekommt man denn Firefox her?

Grüße!

Chuck

Chucksniff 28.12.2004 10:29
Hey Cacatoa!
Hab doch noch was gefunden, nachdem ich irgendwo im Forum den Grund gefunden hab, warum ich die R??e.exe Datei bei Jotti nicht scannen lassen konnte, weil nicht da. Einfach Häckchen im WinExplorer weg. Gleich mal scannen lassen, und siehe da:

Service load: 0% 100%

File: rаеe.exe
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir TR/Dldr.Agent.DF (0.14 seconds taken)
Avast Win32:Trojano-389 (1.51 seconds taken)
BitDefender Trojan.Downloader.Agent.DF (0.33 seconds taken)
ClamAV Trojan.Dropper.Purityscan.I (0.37 seconds taken)
Dr.Web Trojan.DownLoader.743 (0.52 seconds taken)
F-Prot Antivirus W32/Agent.CK@dl (0.06 seconds taken)
Kaspersky Anti-Virus TrojanDownloader.Win32.Agent.df (0.67 seconds taken)
mks_vir Trojan.Downloader.Agent.Df (0.22 seconds taken)
NOD32 Win32/TrojanDownloader.Agent.DF (0.37 seconds taken)
Norman Virus Control No viruses found (1.72 seconds taken)

Wieso hat Escan den nicht gefunden?

cacatoa 28.12.2004 10:43
Hi,
hast Du eScan im abgesicherten Modus durchgeführt?
Bei Jotti hat ja Kaspersky den Troj gefunden; eScan ist kaspersky (hast du eScan upgedated (Kavupd.exe?))
Es handelt sich um den da.
Mußt du löschen (abgesicherter Modus)
Hier gibts den firefox und hier gibts opera (Ich nutze beide).
Nach dem Entfernen bitte ein neues Logfile schicken; auch wenn ich die nächsten Stunden nicht da bin.
Bitte auf keinen Fall versuchen, den Internet Explorer zu deinstallieren! Du brauchst ihn für updates; außerdem ist er fest in Windows integriert und du hättest einniges an Problemen im System, wenn du ihn löschst.
cacatoa

Chucksniff 28.12.2004 10:47
Hab Escan geupdatet und im abgesicherten Modus laufen lassen, ja. Werds nochmal probiern. Keine Angst...den Explorer hatte ich nicht vor zu deinstallieren.
Bis später!

Chucksniff 28.12.2004 12:11
Okay, im abgesichterten Modus die r??e.exe gelöscht und dann nochmal Escan:

Mon Dec 27 15:03:21 2004 => File C:\Björn\Hijack\backups\backup-20041227-135612-890 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Mon Dec 27 15:22:06 2004 => File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: File Deleted.

Mon Dec 27 15:22:57 2004 => File C:\WINNT\loadnew.exe infected by "TrojanDownloader.Win32.Harnig.ad" Virus. Action Taken: File Deleted.

Tue Dec 28 11:10:29 2004 => File C:\Björn\Hijack\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Tue Dec 28 11:10:29 2004 => File C:\Björn\Hijack\hijackthis2.log infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Tue Dec 28 11:34:53 2004 => File C:\RECYCLER\S-1-5-21-951539202-1485982059-292761137-500\Dc10.exe infected by "TrojanDownloader.Win32.Agent.df" Virus. Action Taken: File Deleted.

Seltsamerweise warn die immer noch da. Hab wirklich geupdatet und den abgesicherten Modus benutzt...

Chucksniff 28.12.2004 12:13
Ach ja, und hier noch das neue Logfile (nach dem erneuten Escan durchgeführt):

Logfile of HijackThis v1.99.0
Scan saved at 12:17:32, on 28.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Canon\MultiPASS4\monitr32.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\WinTV\Ir.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Björn\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsi...eUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD458429-BB13-4E18-8E93-9178811A06EA}: NameServer = 193.254.184.232,194.25.2.129
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe

cacatoa 28.12.2004 20:14
Hi, chuck!
Soweit alles o.k. Schau mal in diesen Link. Hier kopierst Du Dein HJT-Logfile rein und wertest es aus. Die gelb markierten Prozesse prüfst Du ob du sie kennst (was ich glaube). Wenn ja, dann ist jetzt alles o.k., es war kein backdoortroj drauf.
Grüße cacatoa

Chucksniff 29.12.2004 10:23
Okay, scheint alles soweit in Ordnung zu sein. Tausend Dank nochmal Cacatoa! Echt nett, wie Du Dich um mich gekümmert hast!
CU


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:08 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129