Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus/Trojaner: Bitte Helfen (https://www.trojaner-board.de/8351-virus-trojaner-bitte-helfen.html)

Oegen 12.10.2004 19:58
Virus/Trojaner: Bitte Helfen
 
Hallo,

ich habe seit kürzerer Zeit ein Virus oder Trojaner.

Meine Firewall und Virus Programme sind ausgefallen (Internet Security 2004 von Norton).
Außerdem funktioniert "regedit.exe" nicht mehr, bzw. ist nicht aufrufbar und wenn ich den Begriff Firewall in www.google.de schreibe oder ordner mit dem namen Firewall öffne schliesst es automatisch.

Wisst ihr vielleicht was das ist? Bzw. wie kann man mir helfen?


VIELEN DANK.

Gruß
Oegen

*Christian* 12.10.2004 20:03
Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/

Oegen 12.10.2004 20:27
Ich kann das Programm nicht auf dem infizierten PC starten, der Virus/Trojaner unterbindet diese Anwendung,bzw. schliesst sie beim starten. Auch wenn ich den Dateinamen ändere.

Bitte um Hilfe

Cidre 12.10.2004 20:32
Nach den Symptomen zu urteilen, dürfte es sich um mindestens einen aktiven Backdoor Trojaner aus der bot Familie handeln.

Erstelle das Log-File im abgesicherten Modus und poste es.

Oegen 12.10.2004 20:40
Logfile of HijackThis v1.98.2
Scan saved at 21:34:30, on 12.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\System32\WDBtnMgr.exe
C:\Programme\WDC\SetIcon.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\oodag.exe
C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
D:\Downloads\eMule\emule.exe
D:\Programme\Nero 6\Nero StartSmart\NeroStartSmart.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\WISPTIS.EXE
D:\Programme\Nero 6\nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\WINDOWS\System32\taskmgr.exe
D:\p.com

F2 - REG:system.ini: Shell=Explorer.exe,vxdload16.exe -shell
O1 - Hosts: 127.172.185.96 www.symantec.com
O1 - Hosts: 127.202.197.137 securityresponse.symantec.com
O1 - Hosts: 127.119.81.253 symantec.com
O1 - Hosts: 127.85.210.209 www.mcafee.com
O1 - Hosts: 127.11.201.39 mcafee.com
O1 - Hosts: 127.9.106.127 us.mcafee.com
O1 - Hosts: 127.22.245.120 www.sophos.com
O1 - Hosts: 127.146.83.23 sophos.com
O1 - Hosts: 127.14.190.239 www.viruslist.com
O1 - Hosts: 127.96.131.150 viruslist.com
O1 - Hosts: 127.82.156.80 f-secure.com
O1 - Hosts: 127.205.58.141 www.f-secure.com
O1 - Hosts: 127.238.211.50 kaspersky.com
O1 - Hosts: 127.216.242.84 www.avp.com
O1 - Hosts: 127.62.17.82 www.kaspersky.com
O1 - Hosts: 127.146.17.167 avp.com
O1 - Hosts: 127.227.72.194 www.networkassociates.com
O1 - Hosts: 127.147.147.63 networkassociates.com
O1 - Hosts: 127.202.212.15 www.ca.com
O1 - Hosts: 127.21.46.69 ca.com
O1 - Hosts: 127.49.84.114 my-etrust.com
O1 - Hosts: 127.128.164.189 www.my-etrust.com
O1 - Hosts: 127.240.183.165 secure.nai.com
O1 - Hosts: 127.144.54.43 nai.com
O1 - Hosts: 127.114.106.255 www.nai.com
O1 - Hosts: 127.92.119.45 trendmicro.com
O1 - Hosts: 127.31.185.208 www.trendmicro.com
O1 - Hosts: 127.226.241.187 housecall.trendmicro.com
O1 - Hosts: 127.37.176.68 www.pandasoftware.com
O1 - Hosts: 127.236.91.69 www.bitdefender.com
O1 - Hosts: 127.231.38.49 www.ravantivirus.com
O1 - Hosts: 127.101.80.244 www3.ca.com
O1 - Hosts: 127.119.188.157 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.120.198.173 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.230.239.221 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.15.187.175 windowsupdate.microsoft.com
O1 - Hosts: 127.80.145.155 www.windowsupdate.com
O1 - Hosts: 127.138.199.221 windowsupdate.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [bttray] "C:\Programme\Widcomm\Bluetooth Software\BTTray.exe"
O4 - HKLM\..\Run: [GammaLoader] "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe"
O4 - HKLM\..\Run: [Erinnerung] C:\Dokumente und Einstellungen\Kurt\Eigene Dateien\Erinnerung.rtf
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Seticons] C:\Programme\WDC\SetIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe
O4 - HKLM\..\Run: [DLLInit] vxdload16.exe -services
O4 - HKLM\..\RunServices: [DLLInit] vxdload16.exe -services
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [I/O Controllers] svcnet.exe
O4 - HKCU\..\Run: [DLLInit] vxdload16.exe -drivers
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096633903406
O16 - DPF: {64D9B72C-E42A-490E-9181-221E1E035A14} (GDL Control) - http://www.gdlcentral.com/bin/files/....2.0.0.144.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab



Ich habe auf dem System das Programm vxdload16.exe ausgemacht. Seit dem kann ich auf HiJack wieder zugreifen.

Ich war schonmal infiziert und habe den PC neugestartet, und das Prorgramm im Taskmanager NICHT gefunden. Dann habe ich Systemwiderherstellung gemacht und System war wieder gut.

Jetzt bei der 2. Infizierung habe ich nicht neugestartet und das Programm vxdload16.exe gefunden.

WAS IST DAS?

Cidre 12.10.2004 20:47
Wie gesagt, mein Tipp: Eine BOT Variante.

Überprüfe diese beiden Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
svcnet.exe
vxdload16.exe

Oegen 12.10.2004 21:18
Da fällt mir ein: Letztens habe ich so ein Half-Life 2 Keygenerator runtergeladen und seitdem versucht svcnet.exe (gemeldet von Norton Firewall) aufs Internet zuzugreifen.

Beim Virencheck kam raus:

File: vxdload16.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH, TELOCK

AntiVir No viruses found (18.83 seconds taken)
Avast No viruses found (17.03 seconds taken)
BitDefender Backdoor.SDBot.Gen (77.24 seconds taken)
ClamAV No viruses found (34.22 seconds taken)
Dr.Web BackDoor.IRC.Sdbot.based (29.88 seconds taken)
F-Prot Antivirus No viruses found (3.35 seconds taken)
Kaspersky Anti-Virus No viruses found (27.97 seconds taken)
mks_vir No viruses found (6.45 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (21.45 seconds taken)
Norman Virus Control No viruses found (134.78 seconds taken)

File: svcnet.exe
Status: INFECTED/MALWARE
Packers detected: None

AntiVir Worm/IRCBot.53792xx (4.61 seconds taken)
Avast No viruses found (14.21 seconds taken)
BitDefender Trojan.Downloader.Gen (probable variant) (43.26 seconds taken)
ClamAV No viruses found (38.20 seconds taken)
Dr.Web Win32.HLLW.Tibic (18.07 seconds taken)
F-Prot Antivirus No viruses found (1.53 seconds taken)
Kaspersky Anti-Virus Worm.P2P.Tibick.b (16.23 seconds taken)
mks_vir Trojan.Hackarmy.U (38.81 seconds taken)
NOD32 Win32/Tibick.B (16.96 seconds taken)
Norman Virus Control Sandbox: W32/Backdoor; [ General information ]

* File length: 31277 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\svcnet.exe.
* Creates directory C:\WINDOWS\SYSTEM\msview.
* Creates file C:\WINDOWS\SYSTEM\msview\Ad-aware.exe.

[ Changes to registry ]
* Creates value "I/O Controllers"="svcnet.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "I/O Controllers"="svcnet.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "tibic.hackarmy.tk" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname jbctunp.
* IRC: Uses username hjfduzm.
* IRC: Joins channel ##TIBiC-P2P2##.

[ Process/window information ]
* Will automatically restart after boot (I'll be back...).
* Creates a mutex svcnet.exe.
* Attemps to open C:\WINDOWS\SYSTEM\svcnet.exe NULL. (328.33 seconds taken)

Cidre 12.10.2004 21:29
Meine Empfehlung lautet: http://www.trojaner-board.de/showpos...28&postcount=2

Oegen 12.10.2004 21:34
Alles neumachen hatte ich eh vor


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:21 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129