Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V  < 1 2  
Closed TopicStart new topic
> TrojanDropper.JS.Mimail.b, Mit Trojaner infiziert
Fusilier
Beitrag 19.08.2003, 17:58
Beitrag #21



Ist neu hier


Gruppe: Mitglieder
Beiträge: 6
Mitglied seit: 19.08.2003
Mitglieds-Nr.: 153



TrojanCheck?

Die weiter oben angegebenen Programme haben nix gefunden und der Norton Anti Virus auch nicht. Ebensowenig Panda Active Scan.

Die Prozessliste kann ich mal vom Screen schießen, wenn der Fehler wieder auftaucht. Aktuell enthlt Sie folgendes:

System
SMSS.exe
CSRSS.exe
WINLOGON.EXE
Services.exe
LSASS.exe
svchost.exe
Spoolsv.exe
regsvc.exe
MStask.exe
MSPMSPSv.exe
svchost.exe
inetinfo.exe
WSRasMon.exe - Wildsoft Rasmon zur Verbindung mit Commundo
explorer.exe
IEXPLORE.exe
internat.exe
AcroTray.exe
ISATRAY.exe
Taskmgr.exe
svchost.exe

Momentan funktioniert wieder mal nix. Keine Links wenn Sie nicht zu Schaltflächen gehören. Der Fehler wurde aber nicht angezeigt. Er lautet Übrigens:

SVCHOST.exe hat einen Fehler verursacht und wird beendet.

Der Beitrag wurde von Fusilier bearbeitet: 19.08.2003, 18:04
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 19.08.2003, 19:44
Beitrag #22



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Hm, sagt mir im Moment nichts. Ich muß erstmal passen sad.gif Vielleicht hat Jemand anders eine Idee !?


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
raman
Beitrag 20.08.2003, 12:38
Beitrag #23



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



ZITAT(Fusilier @ 19. August 2003, 18:57)
internat.exe
ISATRAY.exe

Diese beiden Dateien scheinen mir verdaechtig. Suche sie mal auf deiner Festplatte und teste sie mit Hilfe dieses Links: http://www.kaspersky.com/remoteviruschk.html
oder schicke sie an: virus@rokop-security.de
Zu ISATRAY.exe: http://www.symantec.com/avcenter/venc/data...or.udps.10.html

Auch die internat.exe wird oft von Malware benutzt: http://www.google.com/search?q=%20internat...=utf-8&oe=utf-8

Muss aber nicht zwangslaeufig ein Virus sein.

Der Beitrag wurde von raman bearbeitet: 20.08.2003, 12:51


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 20.08.2003, 13:01
Beitrag #24






Gäste






Aaaalso:

Internat.exe ist das kleine blaue Icon im Tray, mit dem man verschiedene Spracheingaben machen kann.

isatray.exe könnte die MS Firewall sein, da bin ich mir aber nicht sicher.
Go to the top of the page
 
+Quote Post
raman
Beitrag 20.08.2003, 13:14
Beitrag #25



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ich sagte ja, muss nicht zwangslaeufig Malware sein. Warten wir mal, wo sich die Dateien befinden.

@Fusilier: Du kannst ja mal das ergebniss von Startuplist( http://www.tomcoyote.org/hjt/startuplist.zip ) hier posten.

Der Beitrag wurde von raman bearbeitet: 20.08.2003, 13:15


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Fusilier
Beitrag 24.08.2003, 08:18
Beitrag #26



Ist neu hier


Gruppe: Mitglieder
Beiträge: 6
Mitglied seit: 19.08.2003
Mitglieds-Nr.: 153



ISATray.exe liegt im Verzeichnis für die MS Firewall und betrifft diese auch. Nach beenden des Prozesses war das entsprechende Icon weg.

Internat.exe ist die Startupdatei für die Weltzeituhr. Die habe ich allerdings schon seit ca. 1,5 Jahren auf dem Rechner.



Hier die Startup List: (nützliches Tool!!)

StartupList report, 24.08.2003, 09:12:32
StartupList version: 1.52
Started from : C:\Temp\startuplist\StartupList.EXE
Detected: Windows 2000 SP2 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Comundo\Comundo.exe
c:\programme\comundo\WsRasMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Temp\startuplist\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart]
Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
Firewallclient-Konnektivitätsmonitor.LNK = C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
APVXDWIN = "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
IridiumTimeWizard = C:\Temp\Geklaut\Weltzeit\iridium.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - (no file) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[ActiveScan Installer Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\asinst.dll
CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[Live365Player Class]
InProcServer32 = C:\WINNT\DOWNLO~1\Play365.dll
CODEBASE = http://www.live365.com/players/play365.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.812 bytes
Report generated in 0,450 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only



Vielleicht ist da was drin??
Go to the top of the page
 
+Quote Post
raman
Beitrag 24.08.2003, 09:36
Beitrag #27



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Hm, da kann man so nicht viel sehen. Du hast alle derzeitigen Ms Patches und Servicepacks installiert?


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 24.08.2003, 09:51
Beitrag #28






Gäste






Mal ne ganz andere Frage: wann wurde das System denn installiert?
Go to the top of the page
 
+Quote Post
Fusilier
Beitrag 01.09.2003, 07:17
Beitrag #29



Ist neu hier


Gruppe: Mitglieder
Beiträge: 6
Mitglied seit: 19.08.2003
Mitglieds-Nr.: 153



Auch mal wieder online.......

1. Keine Ahnung ob ich alle Patches und Updates installiert habe. Das kann ich nur im Büro testen. Da ich aber mit Lungenentzündung im Bett liege....

2. Das System wurde vor 1,5 Jahren installiert, nachdem ein Kollege den Klez Virus eingeschleppt hatte.


Was mir aber noch einfällt:
Es dauert immer unterschiedlich lange bis das System aussteigt. Im Büro passiert das auch überhaupt nicht. (Internet läuft da über einen Zentralen Anschluß)
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 01.09.2003, 08:35
Beitrag #30






Gäste






Ich frage nur deshalb, weil man Windows und Konsorten ab und zu mal neu installieren muss. So eine Installation hält eben nicht ewig. Der Fehler könnte deshalb auch im System liegen und nichts mit irgendwelcher Malware zu tun haben.
Go to the top of the page
 
+Quote Post
Fusilier
Beitrag 01.09.2003, 09:12
Beitrag #31



Ist neu hier


Gruppe: Mitglieder
Beiträge: 6
Mitglied seit: 19.08.2003
Mitglieds-Nr.: 153



Das habe ich auch schon befürchtet. Da eine Neuinstallation mit den ganzen Softwareanpassungen aber recht aufwendig ist (ca. 2 Wochen!!) wollte ich erst alle anderen Möglichkeiten ausschließen.

Und bevor jemand fragt warum ich zwei Wochen lang Windows installiere.... ich brauche für den Job auch noch Apertuer, sowie Oracle mit diversen Anpassungen.
Go to the top of the page
 
+Quote Post
raman
Beitrag 01.09.2003, 09:28
Beitrag #32



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



ZITAT(Fusilier @ 1. September 2003, 10:11)
ich brauche für den Job auch noch Apertuer, sowie Oracle mit diversen Anpassungen.

Aus reiner Unkenntnis: Speichert Oracle und Apertuer ihre Einstellungen in der Registrierung? Wenn nicht, sollte es doch relativ einfach sein, seine Daten der Software zu sichern?


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 01.09.2003, 09:30
Beitrag #33






Gäste






Dann überleg Dir doch mal das Folgende:

Ich mach immer eine Neuinstallation, passe das System meinen Bedürfnissen an und erstelle dann ein Backup der kompletten Systempartition. Voraussetzung für diese vorgehensweise ist natürlich, dass z.Bsp. auf C:\ das Betriebssystem, Programme und ähnliches und auf einer anderen Partition bzw. anderen Partitionen alle Daten sind, die Du selbst erstellt hast. Auf diese Weise kannst Du ein komplettes Backup der Systempartition C:\ machen, dieses auf CD brennen oder auf einer anderen Partiton als C:\ ablegen. Sollte dann irgendwas nicht mehr einwandfrei laufen, so kannst Du die gesamte Partition C:\ innerhalb weniger Minuten wieder herstellen. Diese ist danach immer so "frisch", als sei sie eben gerade installiert worden.

Ein sehr gutes Programm für diesen Zweck ist Acronis TrueImage.
Go to the top of the page
 
+Quote Post
Fusilier
Beitrag 08.09.2003, 09:46
Beitrag #34



Ist neu hier


Gruppe: Mitglieder
Beiträge: 6
Mitglied seit: 19.08.2003
Mitglieds-Nr.: 153



Danke, das werde ich mal versuchen.

Das Problem mit den Datenbanken ist, das ich für die verschiedenen Kunden jeweils eine eigene Datenbank vorhalten muss und die Kunden verschiedenste Programmversionen nutzen.

Das Problem hat sich übrigens auch geklärt. Ich habe die Win2000 Sicherheitsupdates ein zweites mal installiert. Dann ging es. Warum? Keine Ahnung. Windows halt. ranting.gif

Scheint tatsächlich am Blaster gelegen zu haben.

Dafür hab ich dann jetzt auch endlich diese lästigen Meldungen über den NAchrichtendienst weg.

Danke an alle für die Hilfe.


clap.gif clap.gif clap.gif clap.gif clap.gif clap.gif clap.gif clap.gif clap.gif clap.gif
Go to the top of the page
 
+Quote Post

2 Seiten V  < 1 2
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 10:55
Impressum