Hallo,

habe gestern abend bei Eidos.de versucht einen Patch zu
ThiefII The Metal Age herunterzuladen -dabei gab es folgende
Trojaner -Meldung:

...dies ist der Trojaner:

TR/Drop.Bancos.BG.1

immer im selben Pfad: C:\Dokumente und Einstellungen\Jxxx\Lokale...\TEMP

Habe dann gestern abend im Abgesicherten Modus alles durchgescannt, mit:

AntiVir -neueste Vers. (heute schon zweimal versucht upzudaten -noch keine
neuere Vers. vorhanden -letztes Update war gestern mittag.
SS&D und mit Stinger, jeweils neuste Vers. -haben auch nichts gefunden.

Er findet nichts -ich finde im Temp Ordner auch nichts -Google hat keine
Infos zu genannten TR/

Im AntiVir -der Virusliste, ist der Trojaner aufgelistet -ich kann ihn auch löschen, wenn ich ihn allerdings nur sperre, sehe ich im Temp-Ordner trotzdem nichts -Systemdateien sperren und alle Datein und Ordner anzeigen habe ich für diesen Zweck mal entsprechend ungestellt.

Habe vorhin noch zweimal (ich wollte es genau wissen) den Link bei Eidos.de
angeklickt -immer das selbe Ergebniss -Trojaner!
Die Datei wird auch nie rundergeladen, bzw. ich beende das sofort, hatte gestern nur nicht darauf geachtet, wie der TR/ sich nennt -

im Eidos.de Foren habe ich heute früh schon einen Thread dafür eröffnet -
ich werde den Eindruck nicht los, das der TR/ sich erst durch den Link
anklicken runterladen will oder wie auch immer.

Das passiert nur bei diesem Link -die Patch Datei ist dann, wahrscheinlich durch meinen Abbruch immer nur in 0Byte abgelegt, worüber ich eigentlich
auch froh bin -ich denke der Trojaner steckt in den Patch oder zumindest
könnte er durch den Link runtergeladen werden.

Also die AV Meldung kommt, nachdem ich den Link angeklickt habe -komischerweise geht der Download nicht automatisch los, obwohl er
das sollte -dann die Abfrage vom Firefox in welchen Pfad man runterladen will,
klickt man dann auf OK -kommt sofort die AV-Meldung!

edit: vielleicht ist das ja wichtig...
Heute beim zweiten Versuch, lautet die Datei unter TEMP ->

\04Z2YDRJ.exe

beim dritten Versuch ->

\WIQZSYYZ.EXE

LogFile:

@Garrett
update dein system und IE ASAP, sind ja beide veraltet.

lade clearprog
alle häkchen setzen bei windows und IE

scanne danach dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

poste bitte die ergebnisse per copy and paste methode
chaosman

Hallo chaosman,

danke erstmal für die Hilfe.

Folgendes hat sich jetzt ergeben, hat sich auch überschnitten.

Habe mein SYS gestern abend platt gemacht, da ich ja keine Gewissheit hatte, und alles neu aufgesetzt. Vorhin war ich noch im Eidos-Forum, die hatten mittlerweile den besagten Patch gescannt und festgestellt, das er virenfrei ist -
also habe ich doch diesen Misthund (Entschuldigung ) draufgehabt.

Bin jetzt erstmal mit Win98 im Net -mit aktuellsten Update-Pack 1.2 von
Winboard.
Im IE sind ActiveX Steuerelemente und ActiveScripting abgestellt.
Nutze den OperaBrowser und natürlich aktuelles AntiVir.

Das Escan werde ich trotzdem mal nutzen auch die anderen Sachen -
Danke dir vielmals...
ein neues LogFile poste ich später mal rein -vielleicht ist das noch was -
oder auch schon wieder was neues, hoffe es aber nicht -habe das Sys auch noch nicht ganz fertig eingerichtet, also
Stinger und SS&D sind noch nicht wieder drauf.

Platte habe ich mit LowLevel formatiert.

Mich würde trotzdem mal interessieren, was dieser TR/ anstellt?
Google hatte keine Infos...

Danke und Gruß

Hallo, garrett

Zitat:

Mich würde trotzdem mal interessieren, was dieser TR/ anstellt?
Google hatte keine Infos...

Suchen will gelernt sein...
Guck´ mal hier http://www.sophos.de/search/?search=...&action=search
Hoffe, es hilft Dir weiter
stupormundi

@Garrett

genauer genommen wäre der hier richtig
http://www.sophos.de/virusinfo/analy...jbancosbv.html
Suchen will gelernt sein...
kann ich nur unterstreichen

chaosman

...ich habe die Schnauze voll.

Naja, habe mich auf Goggle allein beschränkt, das sollte eigentlich
nicht heißen, das ich nicht suchen kann...
aber lassen wir das. :-)

Also besagtes Win98 mit aktuellen UpdatePack usw. hat leider nur
zur Folge gehabt, das ich schon nach kurzer Zeit gleich den
nächsten TR/ draufhatte -diesen habe ich mir aber nicht gemerkt.
Wurde festgestellt, als ich ein Programm von originalen DT installieren wollte.

Wie dem auch sei -FP wieder formatiert, aber diesmal ein einfaches Format C:

Dann Winxp wieder drauf + SP1 + zwei aktuelle UpdatePacks für SP1 +
aktuelles AntiVir + euer Vorschlag eScan + extra OutpostFirewall -
obwohl ich im DSL Modem integrierte HWF habe.
Außerdem wieder AdAware SE und Spybot S+D, alles aktuell.
Outpost ist aber nicht aktuell...

Dann habe ich gescannt wie ein wilder, Ergebniss: (abgesicherter Modus)
LogFile von eScan: (sind angeblich Viren in den Update-Packs)

11Viren

AdAware SE - immer dieses Alexa -das habe ich xmal schon unter Quarantäne gestellt.
S-S+D haben mir auch das Alexa, außerdem ein paar Exploits und eine FM gebracht. Die Exploits sind gesperrt (PW) Alexa wie im AdAware und die FM:

Xuron55 - win.ini konnte nicht geöffnet werden...

Den Rest konnte ich nicht lesen, vielleicht könnt ihr damit was Anfangen.?

Ich sehe gerade -kann keine Smilies klicken -wirft mich nach oben zum Logo.
Die LogFiles kann ich auch nicht anhängen... *grübel*

Danke euch vielmals für den Link... ein sehr übler TR/, aber eigentlich sind sie das ja alle.

Gruß
edit: bevor ich es vergesse: XP-Dienste wurden natürlich auch eingestellt -
zuerst mit einem Tool (CCC) dann noch nach einer Liste von Windows Tweak
etwas angepasst -vieles ist deaktiv.
Im IE alles abgestellt, nur FF und Opera zum Browsen. OE wird auch nicht benutzt -nur Thunderbird.