JPEG.MS05-036!Exploit!Trojan
 

Hallo,

ich hab ein riesen Problem und weiss nicht mehr weiter.

Ich habe lt. CA Etrust Inoculate 7 in hunderten von Jpg's o.g. Trojaner. Ich krieg den Trojaner aber nicht enfernt. Und die daten dürfen auf keinen fall gelöscht werden.
Gibt es eine möglichkeit den Trojaner zu entfernen, ohne die daten zu verlieren?

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier!
Welche Trojaner sollten das denn sein? (Name)
stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 14:05:30, on 29.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\msdtc.exe
C:\CA_LIC\lic98rmt.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrust\InoculateIT\InoNmSrv.exe
C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
C:\WINNT\System32\llssrv.exe
C:\CA_LIC\LogWatNT.exe
C:\Programme\Microsoft SQL Server\MSSQL$BKUPEXEC\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\CA\eTrust\InoculateIT\InocIT.exe
D:\Install\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe -s
O4 - HKLM\..\Run: [VxTaskbarMgr] C:\Programme\VERITAS\VxUpdate\VxTaskbarMgr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE0EDE06-7F4E-408E-B5DD-79CD5175BD3A}: NameServer = 192.168.1.250
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Backup Exec Remote Agent for Windows Servers (BackupExecAgentAccelerator) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beremote.exe
O23 - Service: Backup Exec Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec Naming Service (BackupExecNamingService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe
O23 - Service: Backup Exec Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\CA_LIC\lic98rmtd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: ExecView Communication Module (ECM) (ECM Service) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\ECM\ECM.exe
O23 - Service: eTrust Antivirus-Admin-Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoNmSrv.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\CA_LIC\LogWatNT.exe
O23 - Service: RadClock - Unknown owner - C:\WINNT\system32\RadClock.exe

Du hast eine remote control Software laufen Warum?
In Deinem log kann ich nichts auffälliges finden - ist es ein Firmenrechner?
Im Zweifel kannst Du ja mal eine oder mehrere der angeblich befallenen Dateien bei jotti (virusscan.jotti.org/de) checken lassen. Mal sehen, ob dort auch eine Meldung kommt!
stupormundi

ja ist ein firmenrechner, sogar der fileserver :-(

Hallo,
also hier wird normalerweise bei Firmenrechnern nicht geholfen, da dies Profisache (Admin?) ist. Ich würde nur mal noch vorher eine dieser jpeg Dateien hier überprüfen, vielleicht handelt es sich ja auch um einen false positive des AV, wenn nicht Profi kontaktieren.


Grüße Jasager

Ich kann keine dieser dateien hochladen, andere gehen, nur eben die, die als infiziert gelten lassen sich nicht hochladen

Hallo,
das wiederum macht stutzig, dann gilt:

Grüße Wildone

@wildone: :party:
-->Grüße Jasager<-- Insiderschmäh?
stupormundi

@stupormundi
Hallo,
nein eigentlich nicht, war ein Unfall, ist mein Nick in einem anderen Forum:crazy: , ich ändere es mal wieder zurück.


Grüße Wildone

Du gehst fremd? :zzwhip:
Da hast Du aber schon eine Menge mehr Beiträge! :)
stupormundi

(OT)
Dort bin ich ja auch schon etwas länger, und so richtiges fremdgehen ist das nicht, dort gibts ja noch andere Themen als Viren und Verwandtes, insofern habe ich ein reines Gewissen :heilig:


Grüße Wildone