Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Was ist wenn... (https://www.trojaner-board.de/15584-a.html)

Laure 19.03.2005 17:13
Mist!
 
Hola!

Ich habe jetzt zwei Trojaner durch Deaktivieren der Systemwiederherstellung unschädlichgemacht. Der Virenscan war postiv, nichts mehr da. :party:

Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da? :teufel1:

Und ich habe soeben ein Problem festgestellt:
Das Antivirenprogramm erkennt sie zwar nicht mehr, nach jedem Neustart erkennt aber das Programm "Ad-Aware SE" sowohl eine RegData und eine "MRU List", die infiziert sein sollen.

Braucht ihr den Log? Wollte ihn einfügen, aber das hochladen dauert so lange und die Seite stürzt ab.

Laure

Haui45 19.03.2005 17:31
Zitat:
Zitat von Laure
Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?
Nein, siehe auch http://service1.symantec.com/SUPPORT...30807105707924
Zitat:
Durch das Deaktivieren der Systemwiederherstellung werden alle vorherigen Wiederherstellungspunkte gelöscht. Sie müssen neue Wiederherstellungspunkte erstellen, wenn Sie die Systemwiederherstellung wieder aktivieren.
btw: ob du die Schädlinge wirklich restlos entfernen konntest, weiß ich nicht ;)

cronos 19.03.2005 17:32
Wenn du die Systemwiederherstellung deaktivierst, werden alle Wiederherstellungspunkte gelöscht.Es ist also kein Wiederherstellungspunkt mehr dxa.Also kommt auch nichts wieder , wenn du sie wieder anstellst.
Aber warum willst du die Wiederherstellung deaktiviert lassen? An sich ist das eine vernünftige Anwendung.

Gigamail 19.03.2005 17:32
Zitat:
Aber was ist, wenn ich die Systemherstellung wieder aktiviere? Sind sie dann wieder da?
Wie waren die Namen und in welchem Pfad wurden sie gefunden?
Wenn Du die Systemwiederherstellung deaktiviert hast und danach neu gebootet
hast und die Schädlinge in C:\SystemVolumeInformation\Restore waren, dann sind sie weg, denn dort werden die Systempunkte von Windows verwaltet. Du solltest aber die Systemwiederherstellung wieder aktivieren.

Laure 19.03.2005 17:35
Und ich habe soeben ein Problem festgestellt:
Das Antivirenprogramm erkennt sie zwar nicht mehr, nach jedem Neustart erkennt aber das Programm "Ad-Aware SE" sowohl eine RegData und eine "MRU List", die infiziert sein sollen.

Braucht ihr den Log? Wollte ihn einfügen, aber das hochladen dauert so lange und die Seite stürzt ab.

Laure :nixda:

Haui45 19.03.2005 17:37
Du kannst mal ein HijackThis Logfile posten:
Direktdownload
kurze Beschreibung
ausführliche Beschreibung


Die MRU Liste von Ad-Aware ist nichts "böses" ;)

"Reg-Data" ist ein bisschen ungenau...

Laure 19.03.2005 18:34
Logfile of HijackThis v1.99.1
Scan saved at 18:30:16, on 19.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\WINDOWS\DITASK.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\WATCH.EXE
C:\PROGRAM FILES\DEUTSCHE TELEKOM\MANAGEMENT SYSTEM\CGSERVER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\GAH95ON6.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\DIINFO.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\COMPUSERVE 3.0\COMPUSERVE STARTERKIT 3.0\CSODIALER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O2 - BHO: ohb - {22B720C7-5FA6-40A8-9F8F-8584BF669690} - C:\WINDOWS\SYSTEM\TRGEN.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\SYSTEM\IC2_WIN.DLL
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe
O4 - HKLM\..\Run: [EICONCARD_DAEMON] C:\Program Files\Deutsche Telekom\Management System\WATCH.EXE
O4 - HKLM\..\Run: [CGUARD] C:\Program Files\Deutsche Telekom\Management System\CGSERVER.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

cronos 19.03.2005 18:38
Leider hat du den auf deinem Sytem.
Erkennbar an folgendem Eintrag:

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe

Da hilft leider nur Neuinstallation am besten nach folgender Anleitung:

http://www.trojaner-info.de/report_i...nleitung.shtml

dartus 19.03.2005 18:40
Hallo,

lass bitte einmal diese Datei:

C:\WINDOWS\SYSTEM\msmsgs.exe

hier online scannen:

http://www.systemwiederherstellung-d...indows-xp.html

Teile bitte das Ergebnis mit.

dartus

cronos 19.03.2005 18:44
@ dartus

Muss nicht gescannt werden.Ist definitiv der von mir beschriebene Schädling:
Warum?
Deswegen

Gigamail 19.03.2005 18:44
ein HJT ist halt doch immer wieder gut, Du hast den hier im System

Zitat:
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\SYSTEM\msmsgs.exe
meine Empfehlung setze dein System neu auf, hier die Hilfe dazu

Haui45 19.03.2005 18:45
Ich halte dagegen, scanne die Datei bitte online.
btw: Es ist sicher Malware, aber ich glaube nicht, dass es ein Bot ist :)

cronos 19.03.2005 18:49
Das glaub ich aber für dich mit.
Zitat:
W32/Forbot-BD is a network worm with backdoor Trojan functionality.

W32/Forbot-BD spreads through network shares and by exploiting the LSASS (MS04-011) software vulnerability. The Trojan may also spread through backdoors left open by other malware.

When first run, W32/Forbot-BD copies itself to the Windows System folder as MSMSGS.EXE. In order to run automatically each time Windows is started, W32/Forbot-BD sets the following registry entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Messenger = msmsgs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Messenger = msmsgs.exe

W32/Forbot-BD creates a service named "Windows Messenger" with
the display name "Windows Messenger".

The worm runs continuously in the background providing backdoor access to the infected computer through IRC channels.
Zitat: http://www.sophos.com/virusinfo/anal...2forbotbd.html

dartus 19.03.2005 18:50
Hallo,

ich wette das kommt dabei raus:

AntiVir Keine Viren gefunden (0.40 Sekunden)
Avast Keine Viren gefunden (1.51 Sekunden)
AVG Antivirus Keine Viren gefunden (1.01 Sekunden)
BitDefender Keine Viren gefunden (0.53 Sekunden)
ClamAV Keine Viren gefunden (0.62 Sekunden)
Dr.Web Trojan.DownLoader.1916 (0.91 Sekunden)
F-Prot Antivirus Keine Viren gefunden (0.11 Sekunden)
Fortinet Keine Viren gefunden (0.46 Sekunden)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.g (1.00 Sekunden)
mks_vir Trojan.Downloader.Zlob.G (0.22 Sekunden)
NOD32 Keine Viren gefunden (0.49 Sekunden)
Norman Virus Control Keine Viren gefunden (0.82 Sekunden)

Laure,

bitte scan diese Datei.

@cronos,

der Registry-Eintrag ist hierbei aber MSN Messenger und nicht Windows Messenger. ;)

dartus

Haui45 19.03.2005 18:50
Wir werden's ja sehen ;)
btw: den Link hab ich schon gelesen, keine Angst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:40 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131