|
Ergebnis Von Escan Und Hijack Wie Weiter? mwavlog gibt nach escan folgende File C:\WINDOWS\ieze.dll infected by "Trojan-Downloader.Win32.Agent.jb" File C:\WINDOWS\windx.exe infected by "Backdoor.Win32.Small.dc" Virus. File C:\WINDOWS\ieze.dll infected by "Trojan-Downloader.Win32.Agent.jb" C:\WINDOWS\atldo.exe infected by "Backdoor.Win32.Small.dc" Virus. Action C:\WINDOWS\windx.exe infected by "Backdoor.Win32.Small.dc" Virus. Action C:\WINDOWS\aooth.dll infected C:\WINDOWS\bkwfj.dll infected C:\WINDOWS\bxssx.dll infected by "not-a- C:\WINDOWS\d330.exe infected by "Trojan-Downloader.Win32.Small.aci" C:\WINDOWS\dkvoy.dll infected by "not-a- File C:\WINDOWS\EDow_AS2.exe infected by "Trojan- File C:\WINDOWS\IEMenuExtension.exe C:\WINDOWS\igmql.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" C:\WINDOWS\kohiq.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" C:\WINDOWS\mfccr.exe infected by "Backdoor.Win32.Small.dc C:\WINDOWS\msip.exe C:\WINDOWS\msip.exe C:\WINDOWS\msip.exe C:\WINDOWS\msip.exe C:\WINDOWS\oddxm.dll C:\WINDOWS\oddxm.dll C:\WINDOWS\oddxm.dll C:\WINDOWS\otdlv.dll C:\WINDOWS\pjopn.dll C:\WINDOWS\rmsgq.dll C:\WINDOWS\rundll32.exe infected File C:\WINDOWS\sdkci.exe C:\WINDOWS\searchfast.exe C:\WINDOWS\stddbg32.exe C:\WINDOWS\stejo.dll C:\WINDOWS\systmpn.exe.bak infected C:\WINDOWS\vfcly.dll infected C:\WINDOWS\winda.exe infected C:\WINDOWS\windo.exe infected C:\WINDOWS\yracf.dll infected C:\WINDOWS\yzfbv.dll infected C:\WINDOWS\System32\2m99vgpbmhbx8n.dll infected C:\WINDOWS\System32\bnvow.dll infected C:\WINDOWS\System32\bvrwk.dll infected File C:\WINDOWS\System32\chiiu.dll infected C:\WINDOWS\System32\ddilx.dll infected C:\WINDOWS\System32\eauom.dll infected C:\WINDOWS\System32\enqja.dll infected C:\WINDOWS\System32\gduty.dll infected C:\WINDOWS\System32\hjbre.dll infected C:\WINDOWS\System32\javagv32.exe infected C:\WINDOWS\System32\jbhb.dll infected und gleich mein hijack log. |
und hijack this log C:\Programme\Messenger\msmsgs.exe C:\SICHERHEIT\HijackThis.exe C:\SICHERHEIT\HijackThis.exe --------------------------------------------------------------------- R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gswpk.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gswpk.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\gswpk.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\gswpk.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\gswpk.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gswpk.dll/sp.html#44768 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\gswpk.dll/sp.html#44768 ----------------------------------------------------------------------- R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {7C16C7E5-9CFA-188C-1391-6B30852F9DA6} - C:\WINDOWS\ntey.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TrojanScanner] C:\SICHERHEIT\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [mfcch32.exe] C:\WINDOWS\mfcch32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O17 - HKLM\System\CCS\Services\Tcpip\..\{4C320379-0999-4CBD-A996-93ED0FE1D310}: NameServer = 195.50.140.250 145.253.2.174 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Network Security Service - Unknown - C:\WINDOWS\windx.exe was tun. und sorry das ich das ursprüngliche thread nicht weiterverfolgt habe. |
Hallo, Format c: nach dieser Anleitung http://www.trojaner-board.de/showthread.php?t=12154 Grund:Aktiver Backdoor Gruss |
C:\WINDOWS\d330.exe infected by "Trojan-Downloader.Win32.Small.aci" schick mir die Datei bitte mal sammy98 _at_ unimx.de edit: --- |
Zitat:
Also langsam brech ich hier echt zusammen! Wieso soll er/sie die Datei senden? Das System ist kompromittiert,und fertig,Backdoor aktiv,da gibts weder was zu fixen noch zu retten! |
Wwarum ich die Datei haben will? Zum Analysieren, also brauchst du net abzubrechen... |
Zitat:
Bewegst dich auf dünnem Eis hier! Wieso rätst du dann bei Backdoor zum Fixen? Vorsicht Vorsicht!! |
mich interessiert nicht ob und was eine Datei macht, sondern wie die verschiedenen Komponenten der "Schädlinge" zusammenarbeiten und wie man die wieder fixen kann, wenn verschiedene Parts aufeinander "aufpassen". Falls dir TS-Cash noch was sagt ... diese Richtung meine ich |
@ sammy98 Also, entweder kennst Du Dich gar nicht aus; dann ist eine Analyse sowieso sinnlos, oder Du kennst Dich aus, dann frage ich mich, wieso Du den Leuten Anweisungen gibst, die schädlich sind? Das glaube ich, solltest Du erklären. cacatoa |
Zitat:
Es gibt bei Backdoor rein gar nix zu "Fixen",das System stellt Gefahr für den User ansich und auch das Internet dar! Das System ist sofort neu aufzusetzen,sogar MS rät dazu! Du arbeitest dann also in einem Netzwerk wo du genau die Prüfsummen untersuchen kannst?Machst das privat?Dann Herzlichen Glückwunsch! Dann teste aber auch nur,wenn du Ahnung hast,was ein Backdoor so alles anstellen kann! |
Die Anweisung ist wegeditiert und was daran war schädlich? Dass das Teil nicht nochmal geladen wird und das die infizierten Dateien weg sind? Und in dem an sich geschlossenen Mini-Netzwerk ohne Verbindung zum Internet, an dem ich das Test hab ich alles im Griff. |
habe versucht dir die datei zu senden sammy, allerdings gabs zwei probleme. deine adresse konnte nicht eingegeben werden, syntaxfehler, und die datei ist nicht mehr auf meinen rechner. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:28 Uhr. |
Copyright ©2000-2024, Trojaner-Board