Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bitte um Log Prüfung (Trojan.IRCBOT) (https://www.trojaner-board.de/96348-bitte-um-log-pruefung-trojan-ircbot.html)

Kasi 07.03.2011 21:11
Bitte um Log Prüfung (Trojan.IRCBOT)
 
Hallo zusammen,

ich habe vor kurzem einen Scan mit Malwarebytes gemacht und dabei den Trojaner Trojan.IRCBOT gefunden. Natürlich habe ich ihn sofort entfernt. Trotzdem blieb ein etwas mulmiges Gefühl. Darum wollte ich die erfahrenen User hier bitten, meine Logfiles durchzusehen. Ich habe sie nach Anleitung im Sticky erstellt.

Ich habe sonst keinerlei Probleme mit meinem PC, alles läuft wunderbar. Vielen Dank schon mal für die Hilfe.

Grüße

cosinus 08.03.2011 11:29
Dann poste bitte auch alle Logs von Malwarebytes, nur das ohne Funde ist sinnfrei.

Kasi 08.03.2011 11:40
Hier der Log vom ersten Fund:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5979

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

07.03.2011 12:37:29
mbam-log-2011-03-07 (12-37-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 212428
Laufzeit: 32 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\10000001200002i\packager.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\10000001600002i\msiexec.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\1000000b00002i\rundll32.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\300000002ca00002i\OffDiag.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\300000003400002i\dwwin.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\300000003f00002i\CLVIEW.EXE (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\30000000d900002i\DW20.EXE (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\4000001c00002i\vlc.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\anwendungsdaten\thinstall\microsoft office enterprise 2007\400000500002i\acrord32info.exe (Trojan.IRCBot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Musteruser\~webupdatehelper.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Danke für Deine Hilfe!

cosinus 08.03.2011 11:45
Zitat:
microsoft office enterprise 2007
Aus welcher Quelle stammt denn dieses MS-Office?

Kasi 08.03.2011 11:54
Zitat:
Zitat von cosinus (Beitrag 627777)
Aus welcher Quelle stammt denn dieses MS-Office?
wie sich im Nachinein rausstellte war es eine unsichere Quelle. Ich verwende dieses Office nun auch schon lange nicht mehr. Ich habe eine der infizierten Dateien mit virustotal checken lassen. Das Ergebnis findet sich unten. Mir ist klar, dass diese office zum einen tatsächlich einen Virus mit sich brachte oder es evtl falscher Alarm war aufgrund der unsicheren Quelle.

Danke!

Code:
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.12 -
AhnLab-V3 5.0.0.2 2010.02.12 -
AntiVir 7.9.1.160 2010.02.12 -
Antiy-AVL 2.0.3.7 2010.02.11 -
Authentium 5.2.0.5 2010.02.13 -
Avast 4.8.1351.0 2010.02.12 -
AVG 9.0.0.730 2010.02.12 -
BitDefender 7.2 2010.02.13 -
CAT-QuickHeal 10.00 2010.02.12 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.12 -
Comodo 3916 2010.02.13 Heur.Packed.Unknown
DrWeb 5.0.1.12222 2010.02.13 -
eSafe 7.0.17.0 2010.02.11 -
eTrust-Vet 35.2.7300 2010.02.12 -
F-Prot 4.5.1.85 2010.02.12 -
F-Secure 9.0.15370.0 2010.02.12 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.02.12 -
GData 19 2010.02.13 -
Ikarus T3.1.1.80.0 2010.02.12 -
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.972 2010.02.12 -
Kaspersky 7.0.0.125 2010.02.13 -
McAfee 5890 2010.02.12 -
McAfee+Artemis 5890 2010.02.12 -
McAfee-GW-Edition 6.8.5 2010.02.12 Heuristic.LooksLike.Win32.Suspicious.H!92
Microsoft 1.5406 2010.02.12 -
NOD32 4862 2010.02.12 -
Norman 6.04.08 2010.02.12 -
nProtect 2009.1.8.0 2010.02.12 -
Panda 10.0.2.2 2010.02.12 -
PCTools 7.0.3.5 2010.02.12 -
Prevx 3.0 2010.02.13 High Risk Cloaked Malware
Rising 22.34.01.03 2010.02.11 Packer.Win32.UnkPacker.b
Sophos 4.50.0 2010.02.13 -
Sunbelt 5671 2010.02.11 -
Symantec 20091.2.0.41 2010.02.13 -
TheHacker 6.5.1.3.191 2010.02.12 -
TrendMicro 9.120.0.1004 2010.02.12 PAK_Generic.001
VBA32 3.12.12.2 2010.02.12 -
ViRobot 2010.2.12.2184 2010.02.12 -
VirusBuster 5.0.21.0 2010.02.12 -

cosinus 08.03.2011 12:16
Zitat:
wie sich im Nachinein rausstellte war es eine unsichere Quelle.
Was heißt im Nachhinein? Gecrackte Software ist immer unsicher!! :balla:
Ich wäre dafür du setzt das System sauber neu auf. Folge dem Artikel zur Neuinstallation von Windows. Wir unterstützen in keinster Weise die Verwendung von illegaler SW.

Kasi 08.03.2011 12:35
Zitat:
Zitat von cosinus (Beitrag 627787)
Was heißt im Nachhinein? Gecrackte Software ist immer unsicher!! :balla:
Ich wäre dafür du setzt das System sauber neu auf. Folge dem Artikel zur Neuinstallation von Windows. Wir unterstützen in keinster Weise die Verwendung von illegaler SW.
Das mit der illegalen Software ist mir klar und wie gesgat ich verwende sie ja jetzt auch nicht mehr. Wäre es trotzdem möglich, dass Du über die Logs schaust? Wäre Dir auf jeden Fall sehr sehr dankbar.

viele grüße

cosinus 08.03.2011 16:37
1. hast du einen IRC-Bot selbst durch das gecrackte Office installiert, 2. ist eine Entfernung solcher Backdoors keine echte Dauerlösung. Antwort: Nein, ich ich werde aus diesen beiden Gründen nicht mehr weiter bereinigen. Bitte sichere alle noch etwaigen wichtigen Daten (keine ausführbaren Dateien!!) und mach mit der Neuinstallation von Windows weiter. Selbstverständlich helfe ich dabei weiter falls da was unklar ist oder so.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:10 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129