der besagte trojaner ist vom guard während des surfens im netz in den temp internet files gefunden worden. er hat meldung gemacht und ich habe auf datei löschen geklickt. es öffneten sich mehrere fenster (teils minimiert) und auch eins im vollbildmodus. hatte also etwas zu tun, bis ich die fenster wegklicken konnte und die internetverbindung trennen konnte.



habe dann als nächstes sofort alle temp internet files gelöscht und mit folgenden programmen gescannt:

cwshredder
adaware
a2 scanner
anti vir

überall wird nichts gemeldet. im report vom guard steht aber folgendes:

8.01.2005,22:57:17 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Banker.EK.5!
C:\DOKUMENTE UND EINSTELLUNGEN\CHRISTIAN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\CLMBWPMN\COUNTER[1].HTML
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

was soll ich von der meldung vom guard halten? hat er trotz fehlgeschlagener löschung den zugriff auf die datei verweigert? und ist mein system sauber bzw. war es je infiziert?

bzw. wo finde ich infos zu dem trojaner im netz? zu der variante habe ich nichts gefunden. bitte genaue links angeben wenn ihr was habt. danke! hijackthis macht ein sauberes logfile - das habe ich mir schon in einem anderen forum bestätigen lassen.

Hi, lade Dir mal clearprog 1.4.1 final runter, mache alle Häkchen bei Windows und IE und clicke auf löschen. Wenn fertig, auf beenden. (Empfiehlt sich nach jeder I-Net-Sitzung).
Dann scanne nochmal, müßte weg sein.
cacatoa

Nochmal ich, guckst du mal hier.

danke schon mal für deine hinweise.

hmm, ich habe die tifs ja manuell gelöscht. auch den pfad, wo der guard von antivir die datei gefunden hat. reicht das nicht?

EDIT:
http://www.sophos.de/virusinfo/analy...jbankerek.html

da steht, daß die gesammelten daten (wenn er bei mir denn wirklich sammelt) per email verschickt werden. kriege ich diesen email versand mit? also sehe ich bei outlook in gesendete objekte etwas oder so?

Kriegst Du nicht mit. Aber keine Sorge, solange er nur in den Tifs war. Trotzdem clearprog einsetzen. Poste doch mal ein HiJackThis Logfile, damit man sieht, ob evtl. schon was los ist.
cacatoa

ja war er. aber der guard konnte die datei nicht löschen weil sie im zugriff war (siehe meldung im ersten posting). hoffe er hat sie trotzdem blockiert. nachdem einige fenster aufgingen und ich sie geschlossen habe und die verbindung trennte, habe ich dann die tifs manuell über die funktion des ie gelöscht.

hier das logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:54:10, on 19.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AVPersonal\AVGNT.EXE
D:\ED2\Anwdg. + Progr\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/193717e9ea3ee43...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093210916693
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{190B0986-DB21-45A6-B995-37EE90F465F8}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{190B0986-DB21-45A6-B995-37EE90F465F8}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe


die O15 trusted zones habe ich rausgenommen. muß ja nicht jeder wissen, auf welchen seiten ich bin. was da drin steht habe ich da aber selber eingetragen. von daher ist das zumindest in ordnung.

Mach Dir keine Sorgen, das Log ist sauber.
Wenn Du auch das: pacman.prognet.com. (ist der O16 server-Eintrag) kennst, dann paßt es.
Ebenso, wenn Du alle O15er kennst und/oder selbst vorgenommen hast.
Hast Du nochmal gescannt mit antivir?
cacatoa

wo bei O16 siehst du was von pacman usw?

antivir meldet nach scans keine funde.

Ich habe die eingetragene IP geprüft; kannst du auch, schau mal hier.
Wenn antivir jetzt nichts mehr findet, dann ist gut.
cacatoa

wenn du das ding hier meinst:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/193717e9ea3ee4...RdxIE601_de.cab


dann gehört das zu real networks (realplayer).

Ja, der wars. Passt alles.
cacatoa

wollen wir das beste hoffe. danke für deine hilfe.