Generic von Bot-Backdoors oder nicht ? |
||
---|---|---|
#0
| ||
11.12.2005, 13:41
...neu hier
Beiträge: 10 |
||
|
||
11.12.2005, 13:54
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Sirius1964
wende CleanUp an http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 13:58
Moderator
Beiträge: 6466 |
#3
O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE sollte in der Tat gefixt werden. s.a.: http://sysinfo.org/startuplist.php?filter=ANTIVIRUS.EXE
Um genau zu wissen umwas sich nun handelt: die Date unter http://virusscan.jotti.org/de/ prüfen, informieren und ggf weiter e Schritte unternehmen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
11.12.2005, 14:12
...neu hier
Themenstarter Beiträge: 10 |
#4
So hier nun die 4 Files ...
Datentr„ger in Laufwerk C: ist Wotan Volumeseriennummer: 4826-898B Verzeichnis von C:\WINDOWS\system32 11.12.2005 13:22 61.983 OODBS.lor 09.12.2005 18:46 2.550 Uninstall.ico 09.12.2005 18:46 1.406 Help.ico 09.12.2005 18:46 1.718 Open.ico 09.12.2005 18:46 1.406 AddQuit.ico 09.12.2005 18:46 5.350 IE.ico 09.12.2005 18:46 9.470 Desktop.ico 09.12.2005 18:46 1.718 Quick.ico 08.12.2005 11:11 13.730 wpa.dbl 07.12.2005 22:49 0 asfiles.txt 07.12.2005 19:47 147.608 FNTCACHE.DAT 07.12.2005 12:37 7.208 secupd.sig 11.11.2005 13:47 3.924.992 nv4_disp.dll 10.11.2005 21:17 2.377.568 MRT.exe 30.10.2005 06:03 39.992 perfc009.dat 30.10.2005 06:03 311.604 perfh009.dat 30.10.2005 06:03 48.156 perfc007.dat 30.10.2005 06:03 316.594 perfh007.dat 30.10.2005 06:03 723.744 PerfStringBackup.INI 14.10.2005 23:40 98.304 CmdLineExt.dll 13.10.2005 08:11 118.784 sirenacm.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 04.10.2005 17:26 3.013.120 mshtml.dll 26.09.2005 14:34 36.734 OggDSuninst.exe 23.09.2005 04:06 8.491.520 shell32.dll 14.09.2005 20:17 53.248 pxhpinst.exe 11.09.2005 13:42 176.167 rmoc3260.dll 11.09.2005 13:42 6.656 pndx5016.dll 11.09.2005 13:42 5.632 pndx5032.dll 11.09.2005 13:42 278.528 pncrt.dll 10.09.2005 02:54 2.067.968 cdosys.dll 03.09.2005 00:53 664.064 wininet.dll 03.09.2005 00:53 530.432 mstime.dll 03.09.2005 00:53 146.432 msrating.dll 03.09.2005 00:53 96.768 inseng.dll 03.09.2005 00:53 448.512 mshtmled.dll 03.09.2005 00:53 55.808 extmgr.dll 03.09.2005 00:53 205.312 dxtrans.dll 03.09.2005 00:53 474.112 shlwapi.dll 03.09.2005 00:53 1.484.288 shdocvw.dll 03.09.2005 00:53 251.392 iepeers.dll 03.09.2005 00:53 605.696 urlmon.dll 03.09.2005 00:53 39.424 pngfilt.dll 03.09.2005 00:53 152.064 cdfview.dll 03.09.2005 00:53 1.019.904 browseui.dll 03.09.2005 00:53 1.055.744 danim.dll 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll Datentr„ger in Laufwerk C: ist Wotan Volumeseriennummer: 4826-898B Verzeichnis von C:\ 11.12.2005 14:04 0 sys.txt 11.12.2005 14:03 8.077 system.txt 11.12.2005 14:03 286 systemtemp.txt 11.12.2005 14:01 106.136 system32.txt 11.12.2005 13:22 805.306.368 pagefile.sys 21.10.2004 23:55 211 boot.ini 21.10.2004 23:47 47.564 NTDETECT.COM 21.10.2004 23:47 251.184 ntldr 02.10.2004 20:33 43 MENU.CFG 05.03.2004 18:59 0 AUTOEXEC.BAT 05.03.2004 18:59 0 CONFIG.SYS 02.04.2003 13:00 4.952 bootfont.bin 12 Datei(en) 805.724.821 Bytes 0 Verzeichnis(se), 7.121.829.888 Bytes frei Datentr„ger in Laufwerk C: ist Wotan Volumeseriennummer: 4826-898B Verzeichnis von C:\WINDOWS 11.12.2005 13:23 0 0.log 11.12.2005 13:23 497.686 WindowsUpdate.log 11.12.2005 13:23 159 wiadebug.log 11.12.2005 13:23 0 wiaservc.log 11.12.2005 13:22 2.048 bootstat.dat 10.12.2005 23:03 32.642 SchedLgU.Txt 10.12.2005 14:44 199.792 ntbtlog.txt 09.12.2005 18:46 32 pavsig.txt 09.12.2005 03:53 391.024 setupapi.log 07.12.2005 22:49 906 win.ini 07.12.2005 19:45 7.970 iis6.log 07.12.2005 19:45 9.940 ntdtcsetup.log 07.12.2005 19:45 16.363 comsetup.log 07.12.2005 19:45 2.736 ocmsn.log 07.12.2005 19:45 18.872 tsoc.log 07.12.2005 19:45 1.374 imsins.log 07.12.2005 19:45 23.011 KB901017.log 07.12.2005 19:45 23.328 ocgen.log 07.12.2005 19:45 2.472 msgsocm.log 07.12.2005 19:45 49.459 FaxSetup.log 07.12.2005 19:45 23.382 KB896424.log 07.12.2005 19:45 8.881 updspapi.log 07.12.2005 19:45 24.672 KB902400.log 07.12.2005 19:45 15.344 KB896688.log 07.12.2005 19:45 14.221 KB905414.log 07.12.2005 19:45 13.975 KB900725.log 07.12.2005 19:44 11.342 KB904706.log 07.12.2005 19:44 12.151 KB905749.log 07.12.2005 14:13 508 xpsp1hfm.log 07.12.2005 14:13 660 KB823980.log 07.12.2005 11:30 231 RtlRack.ini 03.12.2005 19:41 3.679 wmsetup.log 14.11.2005 23:24 0 setupact.log 14.11.2005 23:24 0 setuperr.log 14.11.2005 15:37 2.751 cdplayer.ini 12.10.2005 20:36 25 WinOnCD.ini 12.10.2005 20:26 1.512 cddabase.ini 09.10.2005 13:29 316.640 WMSysPr9.prx 06.10.2005 15:08 704 eReg.dat 19.09.2005 18:34 82 mafosav.INI 06.08.2005 18:19 2.560 MKDEWE.TRN 01.07.2005 12:30 21 autoagf.Ini atentr„ger in Laufwerk C: ist Wotan Volumeseriennummer: 4826-898B Verzeichnis von C:\DOKUME~1\Brassen\LOKALE~1\Temp 11.12.2005 13:57 203 jusched.log 1 Datei(en) 203 Bytes 0 Verzeichnis(se), 7.121.850.368 Bytes frei MFG Chris |
|
|
||
11.12.2005, 14:30
Ehrenmitglied
Beiträge: 29434 |
#5
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) antivirus32 in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 14:48
...neu hier
Themenstarter Beiträge: 10 |
#6
So das sind dann die Files,
REGEDIT4 ; Registry Search by Bobbi Flekman ; Version: 1.0.2.1 ; Results at 11.12.2005 14:38:45 for strings: ; 'antivirus32 ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Dez 11, 2005 14:44:33 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirService Display Name: AntiVir Service Start Mode: Auto Start Name: LocalSystem Description: Permanenter Virenschutz mit der H+BEDV AntiVir ... Service Type: Own Process Path: "c:\programme\avpersonal\avguard.exe" State: Running Process ID: 1528 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: AVWUpSrv Display Name: AntiVir Update Start Mode: Auto Start Name: LocalSystem Description: Hilfsdienst fuer AntiVir Personal ... Service Type: Own Process Path: "c:\programme\avpersonal\avwupsrv.exe" State: Running Process ID: 1540 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 3 Service Name: Boonty Games Display Name: Boonty Games Start Mode: Disabled Start Name: LocalSystem Description: Boonty ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\boonty shared\service\boonty.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 4 Service Name: de_serv Display Name: AVM FRITZ!web Routing Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\avm\de_serv.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #5 Service Name: ImapiService Display Name: IMAPI CD-Burning COM Service Start Mode: Manual Start Name: LocalSystem Description: Manages CD recording using Image Mastering Applications Programming Interface (IMAPI). If this ... Service Type: Own Process Path: State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #6 Service Name: NetSvc Display Name: Intel NCS NetService Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\intel\ncs\sync\netsvc.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: O&O Defrag Display Name: O&O Defrag Start Mode: Auto Start Name: LocalSystem Description: O&O Defragmentation ... Service Type: Own Process Path: c:\windows\system32\oodag.exe State: Running Process ID: 1612 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service #8 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{b87c0056-e01e-446e-a241-fb3de1c2e74b} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 78 Win32 services on this machine. 8 were unrecognized. Script Execution Time: 0,71875 seconds. |
|
|
||
11.12.2005, 14:52
Ehrenmitglied
Beiträge: 29434 |
#7
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 15:41
...neu hier
Themenstarter Beiträge: 10 |
#8
So auch das hätte ich dann fertig ;-)
KASPERSKY ON-LINE SCANNER REPORT Sunday, December 11, 2005 15:40:27 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 11/12/2005 Kaspersky Anti-Virus database records: 154512 Scan Settings Scan using the following antivirus database standard Scan Archives true Scan Mail Bases true Scan Target My Computer A:\ C:\ D:\ E:\ F:\ G:\ Scan Statistics Total number of scanned objects 32287 Number of viruses found 1 Number of infected objects 2 Number of suspicious objects 0 Duration of the scan process 1899 sec Infected Object Name Virus Name C:\System Volume Information\_restore{7933AB81-AA6D-472F-A3C4-1FBCD8E9C603}\RP540\A0087456.tlb Infected: Trojan-Downloader.Win32.Zlob.br C:\System Volume Information\_restore{7933AB81-AA6D-472F-A3C4-1FBCD8E9C603}\RP541\A0087577.tlb Infected: Trojan-Downloader.Win32.Zlob.br Scan process completed. MFG Chris |
|
|
||
11.12.2005, 17:01
Ehrenmitglied
Beiträge: 29434 |
#9
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 17:13
...neu hier
Themenstarter Beiträge: 10 |
#10
Soll das so richtig sein da steht nämlich fast nichts hoffe doch ;-)
Sieht merkwürdig aus . File von blbeta ÿþ1 |
|
|
||
11.12.2005, 17:24
Ehrenmitglied
Beiträge: 29434 |
#11
ich denke, es ist eine log-Datei, die nach dem scann erscheinen sollte (auf dem Desktop)
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 17:32
...neu hier
Themenstarter Beiträge: 10 |
#12
Habs noch mal gemacht mit dem selben Ergebnis.
No hidden items found und das ist die Textdatei vom Desktop: File blbeta: ÿþ1 |
|
|
||
11.12.2005, 17:43
Ehrenmitglied
Beiträge: 29434 |
#13
http://virus-protect.org/cureit.html
scanne und berichte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.12.2005, 18:20
...neu hier
Themenstarter Beiträge: 10 |
#14
0 Objekte gefunden in alle Bereichen da gibts keine Textdatei ist wohl richtig denk ich mal oder?
MFG Chris |
|
|
||
Nun hab ich aber im HJT- Logfile was entdeckt was da glaub ich auch nicht hingehört bin mir aber nicht sicher hier mein Log File von HJT:
Logfile of HijackThis v1.99.1
Scan saved at 13:24:18, on 11.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Brassen\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [antivirus32] ANTIVIRUS.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21f372efd74940081816/netzip/RdxIE601_de.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{984DE515-D731-4503-96C9-83DFEBBCA7C5}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
Bräuchte dann doch wohl mal Hilfe ;-)
MFG Chris