Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WINXP:Server.bat Trojaner (https://www.trojaner-board.de/48482-winxp-server-bat-trojaner.html)

PatZil 20.01.2008 19:53
WINXP:Server.bat Trojaner
 
Guten Abend.

Habe seit gestern ein Problem mit einer Datei, bzw. Anwendung.
Zuerst ist meine Firewall angegangen, da "C:\WINXP:Server.bat" auf das Internet zugreifen wollte, habe dies aber dank der Firewall verhindern können.

Und jetzt kam beim Start von XP auch die Meldung von AntiVir, das ein Trojaner gefunden wurde.

HiJack This spuckt die Datei auch aus:

O4 - HKCU\..\Run: [SharK] C:\WINXP:Server.bat

Antivir sagt:

Ist das Trojanische Pferd TR/Agent.304128.1

Wie kann ich diese Datei löschen? AntiVir schafft es nicht und mit Fix Checked unter HiJack funktioniert es auch nicht.

Bitte um Hilfe!

PatZil

Clermont-Ferrand 20.01.2008 20:06
Poste zusätzlich ein HijackThis-Logfile. Editiere bitte aber vorher persönliche Angaben und Links. (Beides steht in meiner Signatur)

BTW, AntiVir ist bekannt für 'ne gute Erkennung, allerdings manchmal zu gut, wenn Du Glück hast, ist es ein FP.

Lade die betreffende Datei auch bei VirusTotal hoch und poste das komplette Ergebnis. (Link ist ebenfalls in meiner Sig)

PatZil 20.01.2008 20:21
Okay, hier die

HiJack This Log-File:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:23, on 20.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {***} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [System Files Updater] C:\WINXP\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SharK] C:\WINXP:Server.bat
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {***} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {***} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {***} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {***} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {***} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 5793 bytes
und das Virus Total Ergebnis.

Zitat:
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.1.19.10;2008.01.18;-
AntiVir;7.6.0.48;2008.01.20;-
Authentium;4.93.8;2008.01.20;-
Avast;4.7.1098.0;2008.01.20;-
AVG;7.5.0.516;2008.01.20;-
BitDefender;7.2;2008.01.20;-
CAT-QuickHeal;9.00;2008.01.19;-
ClamAV;0.91.2;2008.01.20;-
DrWeb;4.44.0.09170;2008.01.20;-
eSafe;7.0.15.0;2008.01.16;-
eTrust-Vet;31.3.5470;2008.01.18;-
Ewido;4.0;2008.01.20;-
FileAdvisor;1;2008.01.20;-
Fortinet;3.14.0.0;2008.01.20;-
F-Prot;4.4.2.54;2008.01.19;-
F-Secure;6.70.13260.0;2008.01.20;-
Ikarus;T3.1.1.20;2008.01.20;-
Kaspersky;7.0.0.125;2008.01.20;-
McAfee;5211;2008.01.18;-
Microsoft;1.3109;2008.01.20;-
NOD32v2;2808;2008.01.20;-
Norman;5.80.02;2008.01.20;-
Panda;9.0.0.4;2008.01.20;-
Prevx1;V2;2008.01.20;-
Rising;20.27.62.00;2008.01.20;-
Sophos;4.24.0;2008.01.20;-
Sunbelt;2.2.907.0;2008.01.17;-
Symantec;10;2008.01.20;-
TheHacker;6.2.9.191;2008.01.19;-
VBA32;3.12.2.5;2008.01.19;-
VirusBuster;4.3.26:9;2008.01.20;-
Webwasher-Gateway;6.6.2;2008.01.20;-

weitere Informationen
File size: 5530 bytes
MD5: b1e50f129e5905ab3da30c6faae5dcc8
SHA1: a6dc0428439834bb627a1fba2d6681a39941cf1a
PEiD: -
Die Datei kann ich ja auch nicht finden und per AntiVir lässt sie sich nicht löschen, denke also schon das es eine bösartige Datei ist.

PatZil

KarlKarl 20.01.2008 21:24
Hi,

die Datei ist ein ADS, der an dein Windowsverzeichnis gehängt wurde, der ':' ist das entscheidende Zeichen, das zu erkennen.

Ansonsten ist es vermutlich eine normale Batchdatei, was von der aus auf deinem System passiert, kann man nur durch ihren Inhalt begutachten. Dazu Notepad starten, Datei -> öffnen -> Dateityp auf "alle" stellen -> "C:\WINXP:Server.bat" in das Feld für den Dateinamen kopieren -> öffnen. Das sollte den Inhalt sichtbar (und kopierbar) machen.

Gruß, Karl

Jaipur 20.01.2008 21:32
Hallo PatZil,

eine kurze Frage:

Hand aufs Herz, ist das ein legales Windows, das Du da nutzt?

Gruß

Jaipur

PatZil 21.01.2008 16:00
Hi,

habe die Datei entfernen können.
Und ja, es handelt sich um ein original Windows XP.

Gruß PatZil

KarlKarl 21.01.2008 18:27
Nicht mehr zu erfahren, was drin stand? Könnten Befehle gewesen sein, die schwere Löcher in das System reißen.

PatZil 21.01.2008 22:50
Die Datei ist noch bei AntiVit unter Quarantäne, herstellen also möglich.

Ist ziemlich verschlüsselt, das einzige was heraussticht ist die Seite w*w.shark-project.info

sufffer 31.01.2008 14:51
wie hast du von der seite erfahren? also wenn es ein shark BdT ist dann würde ich sofort dein system neu aufsetzen und passwörter dannach erneuern!


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:04 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28