Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
W32 - Trojaner

W32 - Trojaner


Plagegeister aller Art und deren Bekämpfung: W32 - Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.03.2005, 12:05   #1
Waemsa
 
W32 - Trojaner - Standard

W32 - Trojaner


Hallo,
hab mir dieser Tage zwei Trojaner eingefangen.
Problem ist, dass ich nirgends irgendwelche Infos über diese Trojaner herbekomme.
Hatte schon mal zwei Trojaner auf meinem Rechner, konnte diese allerdings dank einer Beschreibung, wo diese ihre Spuren überall hinterlassen entfernen.

Mein Norman Virus Control hat folgende Trojaner gefunden..


Standort = Diagnose

C:\WINNT\frame1.exe = Trojaner W32/DLoader.AWO


C:\WINNT\Download Programm Files\ISTactivex.dll = Trojaner W32/Istbar.ER


Hat irgendjemand schon mal etwas von diesen beiden Trojanern gehört und weiß, wo sie ihre Spuren in HKLM hinterlassen..?

Alt 03.03.2005, 12:14   #2
Gigamail
 
W32 - Trojaner - Standard

W32 - Trojaner


Hi,

ich bin fast sicher da ist noch mehr drauf. Scanne das System mal mit eScan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________

__________________
Alt 03.03.2005, 13:52   #3
Waemsa
 
W32 - Trojaner - Standard

W32 - Trojaner


So, hab es geschafft und zu meinem Erstaunen festgestellt, dass sich da doch ein paar mehr eingeschlichen haben..

Für Hilfe wäre ich jetzt echt dankbar..

Oh.. Ich glaub ich habe 3 nicht mit eingefügt..

Thu Mar 03 12:58:12 2005 => File C:\WINNT\system32\f429dhx0na.dll infected by "Trojan.Win32.Krepper.o" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:58:18 2005 => File C:\WINNT\system32\h97ukzetf3.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:58:18 2005 => File C:\WINNT\system32\hc39dcuz2n.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:20 2005 => File C:\WINNT\system32\pd7zzwuktw.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:29 2005 => File C:\WINNT\system32\REGCPM32.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:33 2005 => File C:\WINNT\system32\SCVHOST.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:48 2005 => File C:\WINNT\system32\test.exe infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:55 2005 => File C:\WINNT\system32\vo4meha55t.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.


Thu Mar 03 13:02:37 2005 => Total Files Scanned: 7580
Thu Mar 03 13:02:37 2005 => Total Virus(es) Found: 11
Thu Mar 03 13:02:37 2005 => Total Disinfected Files: 0
Thu Mar 03 13:02:37 2005 => Total Files Renamed: 0
Thu Mar 03 13:02:37 2005 => Total Deleted Files: 0
Thu Mar 03 13:02:37 2005 => Total Errors: 1
Thu Mar 03 13:02:37 2005 => Time Elapsed: 00:06:20
Thu Mar 03 13:02:37 2005 => Virus Database Date: 2005/03/03
Thu Mar 03 13:02:37 2005 => Virus Database Count: 120096

Thu Mar 03 13:02:37 2005 => Scan Completed.
__________________
Alt 03.03.2005, 14:10   #4
Gigamail
 
W32 - Trojaner - Standard

W32 - Trojaner


Zitat:
Thu Mar 03 13:02:37 2005 => Time Elapsed: 00:06:20
Du solltest den escan nochmal laufen lassen, das dauert ca. 1 Stunde
entweder war das nicht im abgesicherten Modus, oder die Haken bei Drive und Scan All Files fehlten
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 03.03.2005, 15:49   #5
Waemsa
 
W32 - Trojaner - Standard

W32 - Trojaner


So, hab es jetzt nochmal durchlaufen lassen, wie du richtig vermutet hast, waren nicht alle Häkchen drin..

So sieht das Ergebnis aus..


Thu Mar 03 12:56:32 2005 => ERROR!!! Invalid Entry = C:\WINNT\system32\t66f5m0nnva.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A9A674BF-771F-42E5-A440-D20DDA85A862}). Removing it.

Thu Mar 03 12:57:00 2005 => File C:\Programme\RealVNC\WinVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

Thu Mar 03 12:57:17 2005 => File C:\WINNT\frame1.exe infected by "Trojan.Win32.Small.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:57:21 2005 => File C:\WINNT\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:58:18 2005 => File C:\WINNT\system32\h97ukzetf3.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:58:18 2005 => File C:\WINNT\system32\hc39dcuz2n.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:20 2005 => File C:\WINNT\system32\pd7zzwuktw.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:29 2005 => File C:\WINNT\system32\REGCPM32.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:33 2005 => File C:\WINNT\system32\SCVHOST.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:48 2005 => File C:\WINNT\system32\test.exe infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 12:59:55 2005 => File C:\WINNT\system32\vo4meha55t.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.



Thu Mar 03 14:38:45 2005 => File C:\WINNT\frame1.exe infected by "Trojan.Win32.Small.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:38:51 2005 => File C:\WINNT\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:39:49 2005 => File C:\WINNT\system32\f429dhx0na.dll infected by "Trojan.Win32.Krepper.o" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:39:55 2005 => File C:\WINNT\system32\h97ukzetf3.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:39:55 2005 => File C:\WINNT\system32\hc39dcuz2n.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:41:05 2005 => File C:\WINNT\system32\pd7zzwuktw.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:41:14 2005 => File C:\WINNT\system32\REGCPM32.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:41:19 2005 => File C:\WINNT\system32\SCVHOST.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:41:34 2005 => File C:\WINNT\system32\test.exe infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:41:41 2005 => File C:\WINNT\system32\vo4meha55t.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 14:55:18 2005 => File C:\pluto.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:06:52 2005 => File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

Thu Mar 03 15:06:52 2005 => File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

Thu Mar 03 15:12:09 2005 => File C:\WINNT\Downloaded Program Files\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fa" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:13:34 2005 => File C:\WINNT\frame1.exe infected by "Trojan.Win32.Small.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:17:38 2005 => File C:\WINNT\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:24:17 2005 => File C:\WINNT\system32\f429dhx0na.dll infected by "Trojan.Win32.Krepper.o" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:24:23 2005 => File C:\WINNT\system32\h97ukzetf3.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:24:23 2005 => File C:\WINNT\system32\hc39dcuz2n.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:25:47 2005 => File C:\WINNT\system32\pd7zzwuktw.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:25:56 2005 => File C:\WINNT\system32\REGCPM32.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:26:01 2005 => File C:\WINNT\system32\SCVHOST.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:26:21 2005 => File C:\WINNT\system32\test.exe infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: No Action Taken.

Thu Mar 03 15:26:30 2005 => File C:\WINNT\system32\vo4meha55t.dll infected by "Trojan.Win32.Krepper.v" Virus. Action Taken: No Action Taken.


Thu Mar 03 15:27:26 2005 => ***** Checking for specific ITW Viruses *****
Thu Mar 03 15:27:26 2005 => Checking for Welchia Virus...
Thu Mar 03 15:27:26 2005 => Checking for LovGate Virus...
Thu Mar 03 15:27:26 2005 => Checking for CodeRed Virus...
Thu Mar 03 15:27:26 2005 => Checking for OpaServ Virus...
Thu Mar 03 15:27:26 2005 => Checking for Sobig.e Virus...
Thu Mar 03 15:27:26 2005 => Checking for Winupie Virus...
Thu Mar 03 15:27:26 2005 => Checking for Swen Virus...
Thu Mar 03 15:27:26 2005 => Checking for JS.Fortnight Virus...
Thu Mar 03 15:27:26 2005 => Checking for Novarg Virus...
Thu Mar 03 15:27:26 2005 => Checking for Pagabot Virus...
Thu Mar 03 15:27:26 2005 => Checking for Parite.b Virus...
Thu Mar 03 15:27:26 2005 => Checking for Parite.a Virus...

Thu Mar 03 15:27:26 2005 => ***** Scanning complete. *****

Thu Mar 03 15:27:26 2005 => Total Files Scanned: 32896
Thu Mar 03 15:27:26 2005 => Total Virus(es) Found: 25
Thu Mar 03 15:27:26 2005 => Total Disinfected Files: 0
Thu Mar 03 15:27:26 2005 => Total Files Renamed: 0
Thu Mar 03 15:27:26 2005 => Total Deleted Files: 0
Thu Mar 03 15:27:26 2005 => Total Errors: 3
Thu Mar 03 15:27:26 2005 => Time Elapsed: 00:49:07
Thu Mar 03 15:27:26 2005 => Virus Database Date: 2005/03/03
Thu Mar 03 15:27:26 2005 => Virus Database Count: 120096

Thu Mar 03 15:27:26 2005 => Scan Completed.


Alt 03.03.2005, 17:13   #6
Gigamail
 
W32 - Trojaner - Standard

W32 - Trojaner


Lade die Killbox
boote in den abgesicherten modus wenn Du XP hast deaktiviere die Systemwiederherstellung und lösche mit der Killbox alle gefundenen dateien. eine nach der anderen reinladen und auf das rote Kreuz drücken. Wenn du gefragt wirst "Do you want to reboot?" auf no erst bei der letzten auf yes drücken

bei folgender solltest Du wissen ob sie Dir bekannt ist oder nicht?
warscheinlich mußt Du es erst deinstallieren

C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\RealVNC\WinVNC\othread2.dll
C:\Programme\RealVNC\WinVNC\vnchooks.dll

eScan nochmal laufenlassen danach erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

HJT im normalen Modus ausführen
__________________
--> W32 - Trojaner

Antwort

Themen zu W32 - Trojaner
.exe, beschreibung, control, download, entferne, files, folge, folgende, frame, gefunde, infos, konnte, nirgends, norma, norman, programm, rechner, spuren, troja, trojane, trojaner, trojanern, virus, w32, win, winnt, überall, zwei trojaner


« Dateien lassen sich nicht löschen | Windows-Explorer lässt sich nicht mehr starten »


Zum Thema W32 - Trojaner - Hallo, hab mir dieser Tage zwei Trojaner eingefangen. Problem ist, dass ich nirgends irgendwelche Infos über diese Trojaner herbekomme. Hatte schon mal zwei Trojaner auf meinem Rechner, konnte diese allerdings - W32 - Trojaner...
Archiv
Du betrachtest: W32 - Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131