| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner FundWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.02.2005, 20:53
| #1 |
 |  Trojaner Fund So, ich mal wieder... Gestern klick ich mich so durch die Verzeichnisse, um überflüssige Dinge zu löschen, da schlägt mein Virenscanner an: [FUND!] Ist das Trojanische Pferd TR/PSW.Banpaes.2 War in einer Datei enthalten, welche ich bislang noch NICHT ausgeführt hatte (wollte ich zwar mal installieren, aber mangels Zeit... und dann hab ichs vergessen - gut so) Die betroffene Datei hab ich dann auch umgehend gelöscht. Danach HijackThis im abgesicherten Modus: Logfile of HijackThis v1.99.0 Scan saved at 20:06:03, on 18.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE E:\Programme\Spybot - Search & Destroy\TeaTimer.exe E:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe E:\Programme\Opera75\opera.exe C:\Dokumente und Einstellungen\Network\Eigene Dateien\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE Aber auf den ersten Blick seh ich auch nichts auffälliges... Danach noch EScan laufen lassen (auch im abgesicherten Modus) Meldung: Fri Feb 18 20:36:18 2005 => File C:\Dokumente und Einstellungen\Network\Desktop\pegasus412.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. So, das sind alle Infos, die ich im Moment vom system bekommen kann, will noch ne Prozessliste erstellen, geht aber momentan schlecht, hat mir mein Admin verboten... *g* (Ich hab mir mittlerweile so viel verboten, das ich als sogar als Admin manche sachen nur mit Tricks freigeben muss... *lach*) Was meint ihr? Trojaner früh genug erkannt? und was will mir Tool.Win32.Reboot sagen? Fragen über Fragen... So Long... Zrubsel Edit: Das HijackThis Logfile ist natürlich NICHT gekürzt, auch, wenn es den Anschein erwecken sollte...
__________________ Nur weil du keine Paranoia hast, heisst das noch nicht, das sie NICHT hinter dir her sind... Geändert von Zrubsel (19.02.2005 um 22:05 Uhr) Grund: Nachtrag |
|
20.02.2005, 11:36
| #2 |
  | Trojaner Fund @Zrubsel
__________________lasse diese datei pegasus412.exe doch mal online überprüfen http://virusscan.jotti.org/de und poste das ergebnis poste auch bitte ein HJT logfile aus den normalen modus chaosman
__________________ |
|
20.02.2005, 14:39
| #3 |
| | Trojaner Fund Sooo... heute nochmal escan aktualisiert und laufen lassen...
__________________Sun Feb 20 13:34:17 2005 => File E:\Musi\f\pegasus412.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.Sun Feb 20 13:39:44 2005 => File E:\PMAIL\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:50:841 :ModuleName = C:\bases\mwavscan.com [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:50:841 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :TimeOut : ffffffff [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :Priority : NORMAL [msvLclnt.dll] [0x00000380] 20/02/2005 12:35:55:007 :VirusCount = 118921 Latest Date = 2005/02/20 [msvLclnt.dll] [0x000003fc] 20/02/2005 12:45:39:377 :[00000001] File C:\Dokumente und Einstellungen\Network\Desktop\pegasus412.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000003fc] 20/02/2005 12:47:15:545 :[00000001] File C:\Dokumente und Einstellungen\Network\Desktop\Zeug\aida32ee_393.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862 [msvLclnt.dll] [0x000003fc] 20/02/2005 12:47:57:716 :[00000001] File C:\Dokumente und Einstellungen\Network\Desktop\Zeug\w32-421c.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000003fc] 20/02/2005 12:56:11:195 :[00000001] File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010575.dll infected by not-a-virus:AdWare.TimeSink.c [msvLclnt.dll] [0x000003fc] 20/02/2005 12:56:16:403 :[00000001] File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010682.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862 [msvLclnt.dll] [0x000003fc] 20/02/2005 13:34:17:052 :[00000001] File E:\Musi\f\pegasus412.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000003fc] 20/02/2005 13:39:44:033 :[00000001] File E:\PMAIL\wpmmapi.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x000003fc] 20/02/2005 13:53:32:314 :VirusCount = 118921 Latest Date = 2005/02/20 [msvLclnt.dll] [0x00000380] 20/02/2005 13:56:36:398 :VirusCount = 118921 Latest Date = 2005/02/20 danach hab ich die datei pegasus412.exe bei jotti durchlaufen lassen: File: pegasus412.exe Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir No viruses found (1.61 seconds taken) Avast No viruses found (2.28 seconds taken) AVG Antivirus No viruses found (0.79 seconds taken) BitDefender No viruses found (1.06 seconds taken) ClamAV No viruses found (1.29 seconds taken) Dr.Web not a virus Tool.Reboot.3584 (1.98 seconds taken) F-Prot Antivirus No viruses found (0.29 seconds taken) Fortinet No viruses found (1.61 seconds taken) Kaspersky Anti-Virus not-a-virus:Tool.Win32.Reboot (2.09 seconds taken) mks_vir No viruses found (1.00 seconds taken) NOD32 No viruses found (0.93 seconds taken) Norman Virus Control No viruses found (0.34 seconds taken) Beim suchen der log datei allerdings meldete mein AV guard allerdings wieder den oben genannten trojaner (war wohl noch ne Kopie auf der Platte :-/) Schmeiss ich auch gleich weg, nachdem jotti fertig ist... neuestes HijackThis log: Logfile of HijackThis v1.99.0 Scan saved at 12:09:29, on 20.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE E:\Programme\Spybot - Search & Destroy\TeaTimer.exe E:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Network\Eigene Dateien\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE Ich seh schon: je genauer man sucht, desto mehr findet man auch...  gruss, Zrubsel Edit: Warum hat escan den o.g. Trojaner eigentlich nicht gefunden?
__________________ Geändert von Zrubsel (20.02.2005 um 14:41 Uhr) Grund: Frage hinzugefügt |
|
20.02.2005, 15:46
| #4 |
| | Trojaner Fund @Zrubsel File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010575.dll infected by not-a-virus:AdWare.TimeSink.c [msvLclnt.dll] [0x000003fc] 20/02/2005 12:56:16:403 :[00000001] File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010682.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862 systemeiderherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren. Edit: Warum hat escan den o.g. Trojaner eigentlich nicht gefunden? kein avscanner findet alles. http://www3.ca.com/securityadvisor/p...x?id=453083102 ist dein logfile in den normalen modus erstellt worden? chaosman
__________________ Bonus vir semper tiro |
|
| Themen zu Trojaner Fund |
| abgesicherten modus, adobe, antivir, antivir update, avg, bho, dateien, desktop, einstellungen, escan, explorer, hijack, hijackthis, hijackthis logfile, internet, internet explorer, löschen, opera, programme, scan, system, system32, tan, trojaner, update, windows, windows xp |
Linear-Darstellung
