|
Plagegeister aller Art und deren Bekämpfung: Kann den Trojaner nicht findenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.10.2007, 19:03 | #1 |
| Kann den Trojaner nicht finden Hallo, als ich mich heute bei meiner Bank online für das Online Banking einloggen wollte, teilte man mir mit, dass mein Konto für das Online Banking gesperrt sei. Ich rief bei meiner Bank an und dort teilte mir ein Experte mit, dass man im Internet meine Bankdaten + PIN gefunden hat und deswegen sicherheitshalber mein Konto für das Online Banking gesperrt habe. Ich soll nun meinen Rechner scannen und dann ein Fax abschicken, dass mein PC wieder clean ist und ich neue Online Banking Zugangsdaten bekomme. Habe zuerst mit KAV gescannt. Es wurden 3 Trojaner gefunden, aber nur die exe dateien - sonst keine gefährlichen Registry Einträge oder ähnliches laut KAV. Ich konnte alle 3 Dateien anstandslos durch KAV löschen lassen! Ich bin mir auch relativ sicher, dass ich die gefundenen Dateien nie ausgeführt habe und die nur auf meinem Rechner lagen... KAV Logfile + Hijack Log Danke! Code:
ATTFilter Virensuche : abgeschlossen -------------------------- Untersucht: 475888 Gefunden: 3 Nicht bearbeitet: 0 Start: 23.10.2007 12:16:46 Dauer: 01:30:28 Ende: 23.10.2007 13:47:14 Gefunden -------- Status Objekt ------ ------ gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.aaq Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk Datei: C:\Reconnect\Router-Control\printip.exe gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk Datei: C:\Reconnect\Modems\printip.exe Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:05:29, on 23.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\cFosSpeed\cFosSpeed.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\cFosSpeed\spd.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Desktop\Scan\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=194.36.10.154:3128 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191326427906 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191326707593 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 7941 bytes Geändert von visby (23.10.2007 um 19:12 Uhr) |
25.10.2007, 18:18 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kann den Trojaner nicht finden Hallo.
__________________Code:
ATTFilter Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat. Dein HJT-Logfile sieht jedenfalls okay aus.
__________________ |
25.10.2007, 18:43 | #3 | |
| Kann den Trojaner nicht findenZitat:
http://support.kaspersky.com/de/kav6/rescue Sieht für mich eher wie eine Reparatur aus? Will mein System aber wegen sowas nicht direkt abschießen... Hab meinen PC bisher gescannt und gereinigt mit: KAV HJT ComboFix CleanUp a-squared Free AVG Anti Spyware Ad-Aware Spybot Search & Destroy Panda Online Scan Bitdefender Online Scan |
25.10.2007, 18:51 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kann den Trojaner nicht finden Was du tun musst, steht ja da. Den PE-Builder gibt's hier. Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.10.2007, 18:56 | #5 | |
| Kann den Trojaner nicht findenZitat:
Ich verstehe nur den Ansatz daraus, dass ich meinen Rechner im DOS Modus scannen soll, um somit ggf. noch versteckte Viren/Malware/Würmer/Trojaner zu finden, aber dafür scheint mir diese Notfall-CD nicht ganz das Richtige zu sein, sondern eher etwas wenn das System zerschossen wurde. Zitat: "Zu Kaspersky Anti-Virus 7.0\Kaspersky Internet Security 7.0 wird das Service hinzugefügt, das Notfall-CD erstellt, um die Funktionsfähigkeit des Systems wiederherzustellen. Diese Notfall-CD wird nützlich wenn die System-Dateien nach Viren-Angriff beschädigt werden und Betriebssystem nicht hochgefahren werden kann. In diesem Fall können Sie mit Hilfe der Notfall-CD Ihren Computer hochfahren und das System zur ursprünglichen Funktionsfähigkeit wiederherstellen." Einstellen von „Viren Suche“ |
25.10.2007, 19:07 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kann den Trojaner nicht finden Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen. Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte. Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.
__________________ --> Kann den Trojaner nicht finden |
25.10.2007, 21:29 | #7 | |
| Kann den Trojaner nicht findenZitat:
Oder könntest du mir alternative Scanner empfehlen DOS o.Ä. ? Möchte meiner Bank nämlich bald mal bescheid sagen, dass alls in Ordnung ist. |
27.10.2007, 12:55 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kann den Trojaner nicht finden Du musst ja nicht unbedingt die Kaspersky-Notfall-CD dafür nehmen. Es geht auch z.B. die UBCD4WIN, die erstell mal am besten auf einem garantiert sauberen PC und boote deinen davon. In diesem Live-Windows-XP sind schon mehrere AV-Programme mit drin. Du könntest aber auch erstmal versuchen, im abgesicherten Modus zu scannen. Dort werden nur die allernötigsten Module geladen, die zum Windows-Betrieb nötig sind, etwaige Malware wird sehr wahrscheinlich nicht mitgeladen. Falls das mit Kaspersky im abgesicherten Modus nicht geht, dann mach das mal mit MWAV-eScan (klick den eScan-Link in meiner Signatur an).
__________________ Logfiles bitte immer in CODE-Tags posten |
28.10.2007, 01:37 | #9 |
| Kann den Trojaner nicht finden Habe mit KAV die Notfall-CD nun erstellt und Live-Windows gestartet. Habe KAV, Spybot und A-Squared im Live-Windows Modus scannen lassen. Es wurde jeweils keine schädlichen/infizierten Objekte gefunden. Sollte das nun ausreichen? |
28.10.2007, 13:40 | #10 |
| Kann den Trojaner nicht finden Ich habe aber noch im abgesicherten Modus eScan laufen lassen, so wie in deinem Link beschrieben. Ich war etwas schockiert über das Resultat, wobei die ICQ Folder für mich keine verdächtigen Datei enthalten, bereits selber überprüft (Fehlalarm?): ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.9 Sprache: German C:\DOKUME~1\MASTER~1.BAS\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\***\Desktop\scan\smitrem\swreg.exe Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\icq\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\***\Eigene Dateien\icq\***\receivedfiles\378667729 popelwicht\lp ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\System\CurrentControlSet\Services\usrpda !!! Offending Key found: HKLM\System\ControlSet001\Services\usrpda !!! Offending Key found: HKLM\System\ControlSet002\Services\usrpda !!! Offending Key found: HKLM\System\ControlSet003\Services\usrpda !!! Offending Key found: HKLM\System\ControlSet004\Services\usrpda !!! Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\usrpda !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 13:30:20,03 Batchende: 13:30:24,25 Ich habe daher die Dateien "swreg.exe" und "swsc.exe" von Online Virusscan Jotti & VirusTotal scannen lassen. Als Beweis die Logs: Code:
ATTFilter Datei swsc.exe empfangen 2007.10.28 11:18:35 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.27.0 2007.10.26 - AntiVir 7.6.0.30 2007.10.26 - Authentium 4.93.8 2007.10.26 - Avast 4.7.1074.0 2007.10.27 - AVG 7.5.0.503 2007.10.27 - BitDefender 7.2 2007.10.28 - CAT-QuickHeal 9.00 2007.10.26 - ClamAV 0.91.2 2007.10.28 - DrWeb 4.44.0.09170 2007.10.28 - eSafe 7.0.15.0 2007.10.22 - eTrust-Vet 31.2.5244 2007.10.26 - Ewido 4.0 2007.10.28 - FileAdvisor 1 2007.10.28 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.3.2.48 2007.10.26 - F-Secure 6.70.13030.0 2007.10.27 - Ikarus T3.1.1.12 2007.10.27 - Kaspersky 7.0.0.125 2007.10.28 - McAfee 5150 2007.10.26 - Microsoft 1.2908 2007.10.28 - NOD32v2 2621 2007.10.28 - Norman 5.80.02 2007.10.26 - Panda 9.0.0.4 2007.10.27 - Prevx1 V2 2007.10.28 - Rising 19.46.60.00 2007.10.28 - Sophos 4.23.0 2007.10.28 - Sunbelt 2.2.907.0 2007.10.27 - Symantec 10 2007.10.28 - TheHacker 6.2.9.110 2007.10.27 - VBA32 3.12.2.4 2007.10.28 - VirusBuster 4.3.26:9 2007.10.27 - Webwasher-Gateway 6.6.1 2007.10.28 Virus.Win32.FileInfector.gen!90 (suspicious) weitere Informationen File size: 370688 bytes MD5: af52196cf5593c13f8c2f00a55fe132b SHA1: 8b6628f141f4cb889121d7c903c8f97b8a85fbae Code:
ATTFilter Datei: swreg.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: UPX Bit9 rapportiert: No threat detected (more info) A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Ich habe mit dem Tool "smitRem" mein System checken lassen. Anscheinend gibt eScan einen Fehlalarm bei Datein von smitRem aus! SmitRem habe ich hier vom Board und sollte daher ok sein: http://www.trojaner-board.de/21709-a...fakeale-c.html Ach ja, weitere Scans mit Ad-Aware und Spybot im abgesicherten Modus brachten keine Befunde! Bleibt jetzt nur die Frage, welche Meldung von eScan ein Fehlalarm ist oder nicht? Wie soll ich nun weiter vorgehen? thx |
28.10.2007, 17:14 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Kann den Trojaner nicht findenZitat:
Ingesamt ist somit also keine Infektion festzustellen. Ist mir aber schleierhaft, wie denn dann deine Kontodaten ins Internet gekommen sind. Vllt. durch einen anderen infizierten PC? Oder machst du Online-Banking nur über deinen PC?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Kann den Trojaner nicht finden |
adobe, bho, browser, ctfmon.exe, desktop, einstellungen, exe, exe dateien, explorer, gesperrt, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, logfile, object, pdf, programm, registry, rojaner gefunden, s-1-5-18, saver, scan, senden, sicherheitshalber, software, system, trend micro, trojaner, trojaner gefunden, trojanisches programm, träge, windows, windows xp |