Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32: Keylog-AL (Trj.) (https://www.trojaner-board.de/27612-win32-keylog-al-trj.html)

Pernoctem 17.03.2006 13:27
Win32: Keylog-AL (Trj.)
 
Habe heute erstmals die Virusmeldung (siehe Titel) von Avast 4.6 (am aktuellsten Stand) erhalten. Demnach soll die Datei TS2UPD.exe infiziert sein. Das ist doch das Updateprogramm von Die Sims 2 .. laut Pfadangabe zumindest.

Bin jetzt ein wenig verwirrt ... hab die .exe jez erst mal in den Quarantäne-Ordner verschieben lassen...aber wie weiter handhaben??.. wenn überhaupt?!

hoerni26 17.03.2006 13:32
hallo,

poste doch mal ein aktuelles HJT logfile nach anleitung in meiner signatur..

Pernoctem 17.03.2006 13:37
Ah klar doch kein Problem :)

Logfile of HijackThis v1.99.1
Scan saved at 13:34:47, on 17.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\Alwil Software\Avast4\ashServ.exe
D:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
D:\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Opera\Opera.exe
D:\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Zone Labs Client] d:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [avast!] D:\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Alwil Software\Avast4\ashServ.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame

Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Das wäre alles aus der .log-file

hoerni26 17.03.2006 13:40
sieht sehr klein aus..
hast das im abgesicherten modus erstellt??

Wildone 17.03.2006 13:42
Hallo,
falls du die Datei dem Avastquarantäneordner wieder entreißen kannst, kannst du sie mal hier hochladen und das Ergebnis posten.
Bisher gehe ich von einem Fehlalarm von Avast aus.

Edit
@hoerni
Wenn das Logfile im abgesicherten Modus erstellt worden wäre, würden Zonealarm und Avast nicht laufen:
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
sieht einfach nach einem aufgeräumten Logfile aus.


Grüße Wildone

Pernoctem 17.03.2006 13:42
Mh nein , diese log-file stammt vom vorigen Scan unter'm normal laufenden Windows (normal .. achtung Sarkasmus gg)

Werd aber sogleich einen Scan im Abges.Modus machen


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19