TrojanClicker.W32.Small.j |
||
---|---|---|
#0
| ||
27.02.2004, 15:54
Member
Beiträge: 42 |
||
|
||
27.02.2004, 16:11
Moderator
Beiträge: 7805 |
#2
Der Eintrag in der Registrierung ist nur ein Ueberbleibsel, das ja nur die Datei starten soll, aber da sie nicht mehr da ist, ist der Eintrag ungefaehrlich.
Das Log sieht sauber aus. Wie dieser "Trojaner"( Ist wohl irgendwelche Adware) auf deinen Rechner kommt, ist schwer auszumachen. Es kann durch andere Programme mitinstalliert worden sein, oder einfach ueber ein aktivx Steuerelement. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.02.2004, 16:36
Member
Themenstarter Beiträge: 42 |
#3
Hy Raman
Vielen Dank für die schnelle Antwort! Nunberuhigtichbin!!!!! Ob es allerdings nur ne Adware ist, ....??????? Habe folgenden gefunden: Zitat: "W32.Wotron.Worm is a detection for worms that were created using a worm creation kit. These files are received as email messages. The characteristics of the worm are determined when then worm is constructed and, therefore, will vary. All worms that are created using the kit copy themselves to \%System%\Wininet.exe. The optional password-stealing component creates the \%System%\Sysd.dll and \%System%\Exelib.dll files. NOTE: %System% is a variable. The worm locates the \Windows\System folder (by default this is C:\Windows\System or C:\Winnt\System32) and copies itself to that location. If the computer was infected with this worm, you should reset all passwords because the worm's creator could have configured the worm to send them to the creator of the worm." Zitatende Quelle: http://securityresponse.symantec.com/avcenter/venc/data/w32.wotron.worm.html Oder interpretiere ich da was falsch ????? Gruß dalmore by the way. Haste eigentlich das win update bemerkt????? |
|
|
||
27.02.2004, 16:53
Moderator
Beiträge: 7805 |
#4
Ja, den Dateinamen benutzt mehr als nur ein Trojaner/Adware!
Wenn das W32.Wotron.Worm gewesen waere, haette AVK ihn Trojan.PSW.Wortron.xx.x genannt Siehe auch hier: http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=W32.Wotron.Worm&product=11 __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 27.02.2004 um 16:53 Uhr von raman editiert.
|
|
|
||
27.02.2004, 17:12
Member
Themenstarter Beiträge: 42 |
#5
Die Seite kannte ich noch nicht!
Prima - habe zwar alle pw's geändert, aber ist schon besser so!! Mit Adware kann ich besser "leben", als mit nem Trojaner der pw verschickt! Gruß dalmore Dieser Beitrag wurde am 27.02.2004 um 17:12 Uhr von dalmore editiert.
|
|
|
||
Ein Hilferuf an die Experten !!!!!!!!!!!!
Hatte den o.g. Trojaner auf meinem PC und AVK 2004 Prof. schlug Alarm!
1.) Habe die Datei "c:\winnt\system\wininet.exe" durch AVK löschen lassen.
2.) Rechner neugestartet, gescannt, sauber !!!
3.) div. Online-scans durchgeführt (Symantec, TrendMicro,McAfee) - sauber
4.) Sowohl im abgesicherten Modus (zuerst) als auch im normalen Modus cw, spybot uns Ad-aware über die Platte gescheucht - keine verdächtigen Sachen!
5.) Registry durchsucht nach dem Eintrag "wininet.exe". Dabei wurde das Teil insgesamt 3mal gefunden.
6. Hijack ausgeführt. Protokoll:
Logfile of HijackThis v1.97.7
Scan saved at 15:30:07, on 27.02.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\T-ONLINE\BSW4\ToADiMon.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVirenKit 2004\AVKPOP.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\McAfee\QuickClean\PlgUni.exe
C:\WINNT\system32\internat.exe
C:\Programme\Transparent Icon Labels\Transparent Icon Labels.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programme\Photo Express 3.0 SE\CalCheck.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Plextor\PlexTool.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\download\Spybot HiJackThis cwshredder\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.253.1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.253.1
;localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRA~1\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirenKit 2004\AVKPOP.EXE"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Transparent Icon Labels] "C:\Programme\Transparent Icon Labels\Transparent Icon Labels.exe" 0
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\wininet.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\WINLITE\ZAWF.EXE
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: GetRight Taskleisten-Symbol.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.466712963
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4328/mcfscan.cab
Fragen:
a) Wenn ich den roten Eintrag fixe, wird dann die Registry vollständig bereinigt, oder muss ich noch manuell nacharbeiten?
b) Ist sonst lt. Protokoll alles sauber ???
b) Wie kommt dieser Trojaner auf den PC ??? Habe win2k, AVK mit täglichen update (Premiumservice) und ne gatelock X200.
Vielen Dank schon mal für die Antworten
Gruß dalmore