| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/PSW.Banker.II.7 und Backdoor.BotGet.FtpB.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.02.2006, 23:46
| #1 |
| Gast |  TR/PSW.Banker.II.7 und Backdoor.BotGet.FtpB.Gen Hallo! Ich habe folgende Probleme von denen ich nicht weiß ob sie zusammenhängen. 1: mein PC fährt ab und zu nicht hoch, mit einer systemfehler meldung die ich mir leider nicht notiert habe. Wenn er danach hochfährt meldet Windows bei der PRoblemberichtsendung "Das System läuft nach einem schwerwiegenden Systemfehler wieder" 2: Antivir hat folgenden Virus gefunden: TR/PSW.Banker.II.7 Antivir Erstellungsdatum der Reportdatei: Dienstag, 28. Februar 2006 21:53 Job Name: 'Lokale Laufwerke' Es wird nach 320400 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: Plattform: Windows XP Windowsversion: (Service Pack 1) [5.1.2600] Benutzername: Computername: Versionsinformationen: AVSCAN.EXE : 7.0.0.21 389160 31.01.2006 10:54:28 AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:28 LUKE.DLL : 7.0.0.21 110632 31.01.2006 10:54:28 LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:28 ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 10:47:34 ANTIVIR1.VDF : 6.33.0.207 1160192 08.02.2006 08:09:40 ANTIVIR2.VDF : 6.33.1.28 182784 28.02.2006 20:51:39 ANTIVIR3.VDF : 6.33.1.40 22528 28.02.2006 20:51:39 AVEWIN32.DLL : 6.33.0.36 1163776 28.02.2006 20:51:40 AVPREF.DLL : 6.34.0.0 32808 18.01.2006 12:05:38 AVREP.DLL : 6.33.1.20 1691688 28.02.2006 20:51:40 AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38 AVREG.DLL : 6.31.0.90 25128 28.07.2005 10:06:00 NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:44 NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:44 Beginn des Suchlaufs: Dienstag, 28. Februar 2006 21:53 Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:' [HINWEIS] Es wurde kein Virus gefunden! Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen. Die Registry wurde durchsucht ( 13 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kazem\ntuser.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kazem\NTUSER.DAT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kazem\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Kazem\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\CatRoot2\edb.log [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\CatRoot2\tmp.edb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TEV4H2N\bbot[1].exe [FUND] Ist das Trojanische Pferd TR/PSW.Banker.II.7 [INFO] Die Datei wurde gelöscht. Ende des Suchlaufs: Dienstag, 28. Februar 2006 22:12 Benötigte Zeit: 18:26 min Der Suchlauf wurde vollständig durchgeführt. 707 Verzeichnisse wurden überprüft 33581 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 336 Archive wurden durchsucht 54 Warnungen 0 Hinweise Hijackthis logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:42:07, on 28.02.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atievxx.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wpabaln.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS\System32\notepad.exe C:\Dokumente und Einstellungen\Kazem\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0DB49D8E-9520-4321-A9D2-07B39DC4B65A}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0DB49D8E-9520-4321-A9D2-07B39DC4B65A}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{0DB49D8E-9520-4321-A9D2-07B39DC4B65A}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe Bitdefender hat außerdem folgenden eintrag gefunden: Backdoor.BotGet.FtpB.Gen Und zwar in C:\\WINDOWS\system32\i und in C:\\WINDOWD\system32\mdn.cpp Hat mein systemfehler mit diesen Viren zu tun? Und wie werde ich sie anständig los. Bitdefender hat für das backdoorprogramm angegeben, dass es gelöscht wurde. Antivir hatte das für den Trojaner auch angegeben, jedoch wurden beim scan mit Bitdefender mehrere male warnungen ausgegeben was den Trojaner betrifft. Bitdefender selbst hat den Trojaner nicht entdeckt. Danke im vorraus!! |
|
01.03.2006, 14:42
| #2 |
   | TR/PSW.Banker.II.7 und Backdoor.BotGet.FtpB.Gen Servus!
__________________Bei den Funden (Passwortklauer, Backdoor) in Verbindung mit Deinen aktuellen Problemen und dem nicht aktuellen Betriebssystem (SP2 fehlt) rate ich Dir dringend, Dein System neu aufzusetzen - am besten nach Cidres Anleitung. Alles andere ist sinnlos! stupormundi
__________________ |
|
| Themen zu TR/PSW.Banker.II.7 und Backdoor.BotGet.FtpB.Gen |
| .dll, antivir, avgnt, avgnt.exe, bitdefender, button, content.ie5, datei, dateien, defender, einstellungen, explorer, folge, internet, internet explorer, laufwerke, logfile, mehrere, microsoft, nt.dll, online, probleme, programme, quara, registry, service pack 1, system32, systemfehler, trojaner, virus, virus gefunden, warnung, windows |
Linear-Darstellung
