Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem!!?? mit: TR/Virtl.HiddenRun.B...... (https://www.trojaner-board.de/15313-problem-tr-virtl-hiddenrun-b.html)

pottallot197 13.03.2005 02:42
Problem!!?? mit: TR/Virtl.HiddenRun.B......
 
Also Hi erstmal..........
Ich hab da ein kleines Problem mit einer datei im system32 ordner,
in diesem befindet sich ein Dubioser Ordner namens "sPerm" in welchem wiederum
viele dubiose u.a .exe dateien und .bat dateien sindwie z.B: FireDeamon.exe ,
KILL.exe , Liveupdate.exe , w.exe , test.exe , INFORMATION.exe , SB.exe auch eine fire.reg....u.s.w.....
Ich habe also den ordner mit antivir gescannt und es fand in 2 von 23.....
Dateien den: "TR/Virtl.HiddenRun.B" die eine heist Radmin.exe ,die andere
sPYFILEs.exe...antivir sagte es wären archive,und aus archieven werden keine dateien gelöscht oder überschrieben...soweit sogut.
Ich wollte nun beide von hand löschen was mit der Radmin.exe auch geklappt
hat,nur die "sPYFILEs.exe lässt sich nicht löschen ..zwecks anderer benutzer.....
In den ordner sin auch 2 .txt´s die eine ist :
##############################################################################
### MELEH & TIESTo OWNZ U ###
### #UBDER-WAREZ - IRC.CO.IL - KAHOL LAVAN TEAM ###
##############################################################################
pidfile XtrmOffer.pid
logfile XtrmOffer.log
logstats yes
logrotate weekly
statefile XtrmOffer.state
connectionmethod direct
server eruk.no-ip.org 5000 xdccbotsown
server eruk.no-ip.org 6667 xdccbotsown
server subaro-impreza-wrx-turbo.servebeer.com 6667 xdccbotsown
server subaro-impreza-wrx-turbo.servebeer.com 5000 xdccbotsown
server golf-gt.servebeer.com 6667 xdccbotsown
server golf-gt.servebeer.com 5000 xdccbotsown
channel #UNDER-WAREZ -plist 5
channel #KAHOLAVAN -plist 5 -key ERUK
user_realname 12KAHOL0,12LAVAN
user_modes +i
loginname KAHOL
adminpass loQL5BUev4sII
adminhost MELEH!*@*.*
adminhost ^Dj]II[iEs]II[o^!*@*.*
adminhost ZIBIL!*@*.*
slotsmax 20
queuesize 10
maxtransfersperperson 1
maxqueueditemsperperson 2
filedir ./files/
restrictlist
restrictprivlist
restrictprivlistmsg Wait for public list in the channel loser!
restrictsend........und so weiter.........................................??????????????

und die zweite :

.:::::::::::::::::::::::::::::::::::::::::::::::::.
.::::|¯¯¯¯¯¯¯¯¯¯¯-¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
.::::| @°¨¨°?©® UnDeR-WaReZ Dump Site ®©?°¨¨°@
.::::|________________________________________
.::::::::::::::::::::::::::::::::::::::::::::::::::.
.::::|¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
.::::| o0o-=========== RULES ============-o0o
.::::|
.::::| Don't Hammer!
.::::| Don't Share the Info!
.::::| Don't Be Lame!
.::::| Come Share With Us!
.::::|
.::::|________________________________________
.:::::::::::::::::::::::::::::::::::::::::::::::::.
.::::|¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
.::::| o0o-======== SERVER STATS ========-o0o
.::::|
.::::| Welcome to kAHOL lAVAN tEAM !
.::::| Your IP %IP
.::::| Bandwidth Usage: %ServerKBps KB/sec
.::::| Average Throughput: %ServerAvg KB/sec
.::::| In Use: %ServerKBps KB/sec
.::::| Users Connected: %Unow
.::::| Last 24 hours: %u24h
.::::| Total: %loggedInAll logins
.::::| Uploaded: %ServerKbUp KB
.::::| Leeched: %ServerKbDown KB
.::::| Files up: %ServerFilesUp Files
.::::| Files down: %ServerFilesDown Files
.::::| %DFree MB free
.::::| Server Uptime: %ServerDays Days, %ServerHours Hours, %ServerMins Mins, %ServerSecs
.::::|________________________________________
.::::|
.::::| @°¨¨°?©® In The Team ®©?°¨¨°@
.::::|
.::::|*****-^ThE^KinG^-******************
.::::|************-^Dj]II[iEs]II[o^-*********
.::::|________________________________________
. ::::::::::::::::::::::::::::::::::::::::::::::::::.
.::::|¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
.::::| .::::[UnDeR-WaReZ.Ownz.You]::::.
.::::|________________________________________

.......???????????????????????????????????...

Ich mach abundzu was im IRC..hab aber nicht so den riesenplan...
Soll ich mal n Hijackthis log senden ?

Ich hab jetzt keine Ahnung was ich machen soll und wäre SEHR Dankbar
für jegliche Hilfe.........!!!???

PS: Ich hoffe das Post geht in ordnung und ich hab gegen keine Regel
verstossen!!??

pottallot197 13.03.2005 06:44
...Ich hab inzwischen im abgesicherten Modus einen scan mit antivir gemacht
und sogar noch einige trojaner mehr gefunden hab sie alle von hand gelöscht.
Auch den sPERM ordner hab ich gelöscht...alle gefundenen dateien wurden vom antivir als archieve bezeichnet..auch einfache .exe´s......................
hab übrigens win xp prof sp1.........
Hier noch meine Hijackthis log falls es was bringt ....:

Logfile of HijackThis v1.99.0
Scan saved at 06:34:56, on 13.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Digidesign\Drivers\MMERefresh.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Q\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D842042-E972-44F2-80F6-1190FD74E8E3}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Digidesign MME Refresh Service - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Logfile of HijackThis v1.99.0
Scan saved at 06:34:56, on 13.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Digidesign\Drivers\MMERefresh.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Q\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DigidesignMMERefresh] C:\Programme\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D842042-E972-44F2-80F6-1190FD74E8E3}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Digidesign MME Refresh Service - Digidesign, A Division of Avid Technology, Inc. - C:\Programme\Digidesign\Drivers\MMERefresh.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

..Wenn irgendjemand villeicht was weis wär ich mehr als
dankbar für sein kostbares wissen und zeit...............BBBBBIIIIIIIITTTTEEE!!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55