| |
| |||||||
Log-Analyse und Auswertung: AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmpWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.02.2005, 23:37
| #1 |
 |  AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp habe seit einigen tagen (und seit einigen vdf´s von antivir) die folgende meldung: C:\WINDOWS\system32 telnet.exe.tmp [FUND!] Ist das Trojanische Pferd TR/Dldr.Harnig.Q Nach Rückfrage nicht gelöscht was ist das? auch onlineüberprüfung mit kaspersky meldet den trojaner. was tun? nur löschen? p.s.: wenn ich auf die eigenschaften der datei gehe kommt folgendes zum vorschein: erstellt: Donnerstag, 29. August 2002, 03:43:40 geändert am: Donnerstag, 1. Juli 2004, 15:10:42 letzter zugriff: Heute, 7. Februar 2005 archiv ist angehakt. die datei scheint also schon sehr sehr lange da zu sein laut den daten. verwirrt mich etwas. habe schon gesucht im netz was der trojaner macht usw. aber so richtig schlau geworden bin ich nicht. bitte um hilfe. einfach löschen? |
|
08.02.2005, 00:37
| #2 | |
  | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp hi
__________________mit der heuristik-einstellung kann es schon zu fehlalarmen kommen, würden einen scan mit escan durchführen, und wenn der dateien findet, die avpe nicht kennt -> gepackt an h+bedv senden daher zuerst nur scannen -> nicht reinigen http://www.antivir.de/de/support/ver...ien/index.html führe einen scan mit escan (meine beschreibung) durch lege diesen ordner c:\bases an download von escan in diesen ordner entpacke das *zip file mwav.zip hier in diesem ordner wenn der pfad nicht genau so angegeben wird, funktioniert der scanner nicht! mache ein update, indem du die datei kavupd.exe startest. wechsle in den abgesicherten modus von windows öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, schließe den explorer. überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN* drücken. wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus. nun öffnest du mit dem editor, die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein  jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten  Zitat:
__________________ |
|
08.02.2005, 00:45
| #3 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp naja, aber der kaspersky onlinescan zeigt ja auch den trojanerfund an. siehe mein erstes posting. dann muß ja was dran sein. hast aber gesehen, daß es die telnet.exe.tmp ist und nicht die normale telnet.exe die den trojaner hat, oder?
__________________mit escan bin ich aktuell dabei. poste dann gleich das ergebnis hier. |
|
08.02.2005, 00:53
| #4 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp ergebnis von escan: Feb 08 00:51:21 2005 => ***** Scanning complete. ***** Tue Feb 08 00:51:21 2005 => Total Files Scanned: 52392 Tue Feb 08 00:51:21 2005 => Total Virus(es) Found: 8 Tue Feb 08 00:51:21 2005 => Total Disinfected Files: 0 Tue Feb 08 00:51:21 2005 => Total Files Renamed: 0 Tue Feb 08 00:51:21 2005 => Total Deleted Files: 0 Tue Feb 08 00:51:21 2005 => Total Errors: 7 Tue Feb 08 00:51:21 2005 => Time Elapsed: 00:49:40 Tue Feb 08 00:51:21 2005 => Virus Database Date: 2005/02/08 Tue Feb 08 00:51:21 2005 => Virus Database Count: 117451 Tue Feb 08 00:51:21 2005 => Scan Completed. 7 von diesen "viren" sind dateien, die als "tagged not as a virus" angezeigt werden. die kenne ich auch und die sind ok - also außerhalb der diskussion. der eine richtige virus, der auch als virus gezeigt wird ist die besagte datei telnet.exe.tmp. --> infected by "Trojan-Downloader.Win32.Harnig.q" soll ich die jetzt also per hand löschen ja? was hat diese doppelendung zu sagen? kann ich feststellen, ob der trojaner aktiv war/ist bzw. schon schaden angerichtet hat? |
|
08.02.2005, 02:47
| #5 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp hi am besten so vorgehen hijackthis-logfile erstellen und unter O4 - Autostartaufrufe aus der Registry überprüfen, ob ein eintrag, deiner datei vorhanden ist. wenn ja, dann noch die laufenden prozesse überprüfen, ist einer dabei, den du nicht zuordnen kannst, mit dem jotti oder virustotal-onlinecheck überprüfen , weiter ja- >trojaner aktiv nein -> trojaner nicht aktiv -> könnte z.b. von antivir geblockt werden http://www.trojaner-board.de/51130-a...ckthis.html#o4 p.s. welche escan version hast du den verwendet? lief avpe schon im abgesicherten modus von windows?
__________________ lg HijackThis, Security-Tool |
|
08.02.2005, 07:44
| #6 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp hier das logfile. ich habe die trusted zones rausgenommen. geht ja keinen was an ;-) von escan habe ich die neueste version verwendet (4.8.7) und vorher habe ich upgedatet. Logfile of HijackThis v1.99.0 Scan saved at 07:42:00, on 08.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\wuauclt.exe D:\ED2\Anwdg. + Progr\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/193717e9ea3ee43...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093210916693 O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{190B0986-DB21-45A6-B995-37EE90F465F8}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{190B0986-DB21-45A6-B995-37EE90F465F8}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
08.02.2005, 08:21
| #7 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp antivir hat im abgesicherten modus nichts gefunden. die besagte infizierte datei hatte ich heute nacht noch von der festplatte auf diskette verschoben. sie ist somit seitdem nicht mehr auf der festplatte. wovon kann ich nun ausgehen? |
|
08.02.2005, 14:00
| #8 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp *hochschieb* |
|
09.02.2005, 00:54
| #9 |
| | AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp kann mir bitte noch mal jemand abschließend was du der ganzen sache sagen? |
|
| Themen zu AntiVir findet beim Scan TR/Dldr.Harnig.Q in Telnet.exe.tmp |
| antivir, august, datei, einfach, folge, folgende, folgendes, fund, gelöscht, gesucht, heute, kaspersky, lange, löschen, löschen?, melde, meldet, meldung, pferd, richtig, scan, system, trojanische, trojanische pferd, windows, zugriff |
Linear-Darstellung
