Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   a.bat Trojaner (https://www.trojaner-board.de/41182-a-bat-trojaner.html)

neo1912 22.07.2007 18:29
a.bat Trojaner
 
hallo,

bin neu hier und hab folgendes problem.
Bei jedem Systemstart kommt von meinem AntiVir eine Warnung das er einen
Trojaner gefunden hat namens a.bat die kann ich zwar löschen oder in quarantäne setzten aber kommt bei jedem start neu und eine Datei sysmem.exe wollte ein Autostart eintrag erstellen was von Anti-Malware aber erkannt und geblockt wurde.

Hab schon mit Anti-Malware und anderen Scanner probiert das Teil los zu werden ohen Erfolg die haben nix gefunden.
Ich hoffe ihr könnt mir helfen!!! :)


Logfile of HijackThis v1.99.1
Scan saved at 19:28:00, on 22.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\tools\ICQLite\ICQLite.exe
E:\tools\ATITool\ATITool.exe
E:\tools\Logitech\iTouch\iTouch.exe
E:\tools\UltraMon\UltraMon.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
E:\tools\DAEMON Tools\daemon.exe
E:\tools\UltraMon\UltraMonTaskbar.exe
e:\tools\a-squared Anti-Malware\a2service.exe
e:\tools\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
E:\Tools\Mozilla Firefox\firefox.exe
E:\Tools\a-squared Anti-Malware\a2guard.exe
C:\Dokumente und Einstellungen\Larz\Desktop\Hijack\Hijack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\tools\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "e:\tools\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [ATITool] "E:\tools\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [zBrowser Launcher] e:\tools\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [UltraMon] "E:\tools\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [lnternet Update] sysmem.exe
O4 - HKLM\..\RunServices: [lnternet Update] sysmem.exe
O4 - HKCU\..\Run: [DAEMON Tools] "e:\tools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\tools\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\tools\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9426118-B87D-497D-8444-FE589712C8E6}: NameServer = 192.168.0.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - e:\tools\a-squared Anti-Malware\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - e:\tools\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Mobius07 22.07.2007 18:43
Hallo. Hast Du noch den Bericht mit Angaben des Pfades von Antivir. Wenn ja, dann stelle Ihn bitte hier rein.
Die angemeckerte Datei sysmem.exe bei
Virustotal VirusTotal - Free Online Virus and Malware Scan , bzw bei
Jotti überprüfen : Online malware scan
(Datei ins weisse Fensterchen kopieren, auf "send/submit" klicken, gesamte Ergebnis posten. Hoffe der Server ist nicht überlastet.
Die sysmem.exe sollte im übrigen eigentl. unter diesem Pfad zu finden sein C:\WINDOWS\system32\
Wenn nicht dann versteckte Dateien & Ordner sichtbar machen.

BataAlexander 22.07.2007 18:52
Mit HJT folgende Einträgen fixen:

O4 - HKLM\..\Run: [lnternet Update] sysmem.exe
O4 - HKLM\..\RunServices: [lnternet Update] sysmem.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

Dann lade Dir OTMoveIt, öffne es, füge C:\WINDOWS\System32\sysmem.exe
in den linken Fensterteil ein, dann klicke auf "MoveIt", die Datei liegt jetzt im Ordner C:\OTMoveit!. Diesen Ordner löschen.

Dann Rechner neu starten, Antivir Updaten und scannen. Dann logs von HJT und AntiVir hier posten.

Bata

Franz1968 22.07.2007 18:56
Zitat:
Diesen Ordner löschen.
Nein! Nicht den Ordner löschen, bevor die Datei sysmem.exe bei Virustotal überprüft wurde.
Denn es könnte eine RBot-Variante, also eine Backdoor sein:
sysmem.exe - Program Information

BataAlexander 22.07.2007 19:03
Zitat:
Zitat von Franz1968 (Beitrag 281549)
Denn es könnte eine RBot-Variante, also eine Backdoor sein
Was weiß der TO dann mehr? Würde gern das Log von Avira abwarten, gewöhlich kommen solche Exploids nicht allein.

Bata

Mobius07 22.07.2007 19:05
BataAlexander : Bitte nicht einfach alles fixen. Zuerst muss einmal sichergestellt werden, worum es sich bei Dieser Datei überhaupt handelt.
Erst nach Identifizierung des Schadprogrammes sollte man weitergehende Schritte prüfen.
Die 09-er Einträge bitte in Ruhe lassen. Der erste Eintrag ist für Autoruns von Sysinternals. In diesem Subkey werden temporär ausgeschaltete Reg-Keys zwischengespeichert. Dieser file ist zwar nicht mitgestartet, aber auf keinen Fall schädlich. Der Zweite Eintrag gehört zur JAVA-Software das Programme ausführt, indem sie den Bytecode interpretiert.

BataAlexander 22.07.2007 19:12
Ja Mensch, ne ist mir beim Copy & Paste reingerutscht, dass mit dem Java, sry.
Die Autoruns sind leer, daher kannn, nicht muss, man den Eintrag entfernen.
Die Datei würde ich deshalb direkt löschen, da ich davon ausgehen, das der Rechner immer noch am Netz ist. Sicherlich kann man die noch Scannen, aber was bringts mehr.
Wie so oft gibt es viele Wege nach Rom, keiner falsch nur anders ;)
An TO: Also
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
nicht fixen und den
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
nur wenn Du magst :)

Bata

neo1912 22.07.2007 19:33
danke für die schnelle antwort...

werde die sachen ausführen sobald ich wieder zu haus bin :)

neo1912 22.07.2007 23:03
also AntiVir sagt folgendes:

In der Datei 'C:\a.bat'
wurde ein Virus oder unerwünschtes Programm 'BAT/REG.Zapchast' [BAT/REG.Zapchast] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Virus Total:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.22 HEUR/Crypted
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.22 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.22 DeepScan:Generic.Malware.G!SKI!!FLMPWX!!BVPkprng.A01DD89A
CAT-QuickHeal 9.00 2007.07.20 no virus found
ClamAV devel-20070416 2007.07.22 no virus found
DrWeb 4.33 2007.07.22 no virus found
eSafe 7.0.15.0 2007.07.22 no virus found
eTrust-Vet 30.8.3797 2007.07.20 Win32/Rbot.HFA
Ewido 4.0 2007.07.22 no virus found
FileAdvisor 1 2007.07.22 no virus found
Fortinet 2.91.0.0 2007.07.22 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.22 no virus found
Ikarus T3.1.1.8 2007.07.22 Backdoor.VB.EV
Kaspersky 4.0.2.24 2007.07.22 no virus found
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.22 no virus found
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.22 W32/Gaobot.PVZ.worm
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 VIPRE.Suspicious
Symantec 10 2007.07.22 no virus found
TheHacker 6.1.7.151 2007.07.22 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.22 no virus found
Webwasher-Gateway 6.0.1 2007.07.22 Heuristic.Crypted


hab die Datei mit MoveIt verschoben und jetzt kommt auch keine Warnung mehr von Antivir und die
a.bat wird auch nicht mehr erzeugt... also kann ich sie jetzt löschen ????

Mobius07 22.07.2007 23:18
Sieht nicht gut aus: Backdoor-Befall! Win32/Rbot. Wie vermutet !

Ich rate Dir zu Deiner eigenen Sicherheit zu einem Neuaufsetzen .
http://www.trojaner-board.de/12154-a...sicherung.html
Warum? Lese bitte hier nach:
Homepage von Malte J. Wetz

BataAlexander 22.07.2007 23:26
Leider, Full Ack Mobius07

Bata

neo1912 22.07.2007 23:31
Zitat:
Zitat von BataAlexander (Beitrag 281614)
Leider, Full Ack Mobius07

Bata
was heisst das ??

BataAlexander 22.07.2007 23:33
Das ist ein Zeichen der Zustimmung zu Mobius07 Aussage

Full Ack(nowledge) = Volle Zustimmung

Bata

neo1912 22.07.2007 23:35
Zitat:
Zitat von BataAlexander (Beitrag 281618)
Das ist ein Zeichen der Zustimmung zu Mobius07 Aussage

Full Ack(nowledge) = Volle Zustimmung

Bata
MIST!
trotzdem vielen dank junx!!!
werd ich mal anfangen .... :heulen:

Franz1968 23.07.2007 10:04
Zitat:
Zitat von BataAlexander (Beitrag 281552)
Was weiß der TO dann mehr? Würde gern das Log von Avira abwarten
Ist es nicht wichtig, eine Malware zu identifizieren, bevor man sie bekämpft? AntiVir ist ein guter Scanner, findet aber auch nicht alles.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:37 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129