BDF meldet "Trojan.DiHide.A" ???? |
||
---|---|---|
#0
| ||
26.06.2004, 15:27
Member
Beiträge: 42 |
||
|
||
26.06.2004, 21:05
Ehrenmitglied
Beiträge: 29434 |
#2
http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum Unter diesem Namen Trojan.DiHide.A habe ich auch nur die Infos gefunden, die du auch schon hattest. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.06.2004 um 21:07 Uhr von Sabina editiert.
|
|
|
||
26.06.2004, 22:47
Member
Themenstarter Beiträge: 42 |
#3
Hallo Sabina
Hier das Log: Logfile of HijackThis v1.97.7 Scan saved at 22:44:10, on 26.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINNT\system32\internat.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Transparent Icon Labels\Transparent Icon Labels.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe C:\Programme\Photo Express 3.0 SE\CalCheck.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\Plextor\PlexTool.exe C:\Programme\OpenOffice.org1.1.0\program\soffice.exe C:\Programme\Mozilla Firebird 07\MozillaFirebird.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\download\Spybot HiJackThis cwshredder\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.253.1/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.253.1 ;localhost R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Transparent Icon Labels] "C:\Programme\Transparent Icon Labels\Transparent Icon Labels.exe" 0 O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\WINLITE\ZAWF.EXE O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Photo Express 3.0 SE\CalCheck.exe O4 - Global Startup: GetRight Taskleisten-Symbol.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.466712963 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4370/mcfscan.cab MfG dalmore Dieser Beitrag wurde am 26.06.2004 um 22:48 Uhr von dalmore editiert.
|
|
|
||
27.06.2004, 01:03
Ehrenmitglied
Beiträge: 29434 |
#4
Fixe mit dem HijackThis
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80 denn es ist bestimmt nicht dein Proxy neustarten Ansonsten ist das Log sauber. Scanne noch mal mit der mwav.exe ...und poste, ob das Tool noch was gefunden hat. http://www.mwti.net/antivirus/free_utilities.asp tip\ regsvc.exe Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...Sicherheitsrisiko Start\Systemsteuerung\Verwaltung\Dienste MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2004, 11:41
Member
Themenstarter Beiträge: 42 |
#5
Hallo Sabina!
Erst einmal VIELEN DANK für Deine Antwort. 1.) Habe "REGSVC.EXE (Remote Registry Service)" deaktiviert. Der Prozess taucht nicht mehr im log auf. 2.) Den von Dir angesprochenen Eintrag habe ich jedoch zunächst noch nicht gefixt. Hintergrund: ich benutze ein Bankingprogramm und meines Wissens benutzt dieses den btx decoder. Habe die Befürchtung, das das Programm (Geno Light - Volksbank) dann nicht mehr funktioniert. Vielleicht liege ich ja total schief???? 3.) Download von "mwav.exe" - gescannt - Folgende Einträge wurden ausgegeben: C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken. C:\download\Codecs\DivX\DIVX502.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. C:\download\Codecs\DivX\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Wenn ich das rictig verstehe, sind dies keine (?) Viren oder andere Schädlinge. Bis auf gendel32.exe im root. Einfach löchen? Kaspersky online scan stuft sie weder als verdächtig, noch als Virus ein! MfG dalmore |
|
|
||
27.06.2004, 12:18
Ehrenmitglied
Beiträge: 29434 |
#6
#Tool.Win32.Reboot...das ist ein Tool, das den Rechner neu starten kann. Meistens sind das ueberbleibsel von einer Softwareinstallation.....
#btx decoder...geht in Ordnung ...ich habe mich nur gewundert, dass du zwei Proyeintraege hast...und manchmal verstellen Viren den Proxy #O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL diese Programme wuerde ich aus dem Autostart nehmen #Trojan.DiHide.A beim Logitech desktop messenger (in der Datei IADHide.dll) gefunden ...ich habe nichts darueber gefunden...hoffentlich ist es kein KeyLogger, denn dann wurde alles, was du angklickt hast, verfolgt. Am besten, du installierst alles neu von Logitech und nimmst es aus dem Autostart. O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe #Lade AdAware free und scanne (Spyware) http://www.lavasoft.de/support/download/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 12:22 Uhr von Sabina editiert.
|
|
|
||
27.06.2004, 13:09
Member
Themenstarter Beiträge: 42 |
#7
1.) AdAware hatte ich schon vorher eingesetzt - hat nichts gefunden.
2.) Trojan.DiHide.A beim Logitech desktop messenger (in der Datei IADHide.dll) gefunden Habe mal weiter gesucht und gefragt (in anderen Foren). Trotzdem war mir Deine Meinung wichtig!!!!!! Ich glaube dies ist die Lösung: http://www.chip.de/forum/thread.html?bwthreadid=661738 3.) Noch eine BITTE! Schau Dir mal folgendes log an. Ist von meiner Arbeitspartition. Habe auf der Maschine 2x Win 2000 installiert - eine "Schmuddelversion" und eine "Arbeitsversion". Schon mal vielen Dank im Voraus!!! Logfile of HijackThis v1.97.7 Scan saved at 11:49:33, on 27.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINNT\system32\internat.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe C:\WINNT\system32\wuauclt.exe D:\download\Spybot HiJackThis cwshredder\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.253.1/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINNT\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.0935648148 MfG dalmore |
|
|
||
27.06.2004, 19:02
Ehrenmitglied
Beiträge: 29434 |
#8
@dalmore
1. von der Logitech<Spyware Backweb Lite wusste ich, allerdings nicht, dass dein Virenscanner AntiVirenKit es Trojan.DiHide.A nennt. Ich wuerde dennoch die Psw. aendern...sicher ist sicher.... 2.Das zweite Log sieht sauber aus... Allerdings solltest du es updaten...ich glaube es gibt schon das Servicepack SP4 fuer Win2000. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 19:03 Uhr von Sabina editiert.
|
|
|
||
27.06.2004, 21:07
Member
Themenstarter Beiträge: 42 |
#9
Hallo Sabina!!
Nochmals vielen Dank für Deine Mühe! Ist nicht selbstverständlich !!!! by the way: SP4 ist auf beiden Partitionen installiert - oder habe ich mich da geirrt????? (versteh es nicht falsch - kein Vorwurf) MfG dalmore |
|
|
||
27.06.2004, 21:34
Ehrenmitglied
Beiträge: 29434 |
#10
Klar...hatte die falsche Brille auf...und nur auf den Explorer gesehen...
Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 21:35 Uhr von Sabina editiert.
|
|
|
||
Trojan.DiHide.A
beim Logitech desktop messenger (in der Datei IADHide.dll) gefunden und gelöscht. Allerdings finde ich nirgends eine Beschreibung der Schadensfunktionen dieses Trojaner's. Hat jemand nähere Informationen ????
siehe auch:
http://de.bitdefender.com/bd/site/virusinfo.php?menu_id=2&dc=1&source=1
Gruß
dalmore