Woher weiß ich, ob ein "Trojaner Horse" komplett weg ist?

marion2007 · 19.01.2007, 18:39

hallo, mein virenprogramm (AVG Anti-Virus) hat heute bei mir ein "Trojaner Horse" entdeckt in der Datei "mscheck.exe" unter C:\Windows\System. Ich habe auf "Heal" im AntiVir geklickt, aber woher weiß ich nun, ob der Trojaner komplett weg ist? Leider kenne ich mich nicht sonderlich gut mit Viren aus, deswegen bitte ich euch um Hilfe. Ich habe mich bereits über Google (wie empfohlen) versucht zu informieren und habe auf "http://www.wintotal.de/Spyware/index.php?Filter=M" folgendes gefunden:

mscheck.exe

Schädlinge (C:\Windows(WINNT)\System; system32) Troj/Bckdr-CKA, Troj/Dropper-AM [mscheck], Info (unter "Advanced")

Ich kann nur leider nichts damit anfangen. Auf einer anderen Seite wurde geraten die Datei "mscheck.exe" mit http://www.virustotal.com/en/indexx.html durchsuchen zu lassen. Nur leider war diese nachdem ich auf "Heal" beim AntiVir geklickt hatte, nicht mehr vorhanden.

Ich wäre sehr dankbar, wenn mir irgendjemand sagen könnte, ob ich da jetzt noch irgendwas machen muss oder woran ich merke, ob noch / wieder alles in Ordnung ist.

Marion

Franz1968 · 21.01.2007, 19:57

Hallo,
du musst damit rechnen, dass der Trojaner weitere unerwünschte Programme aus dem Internet nachgeladen hat und/oder eine Hintertür zu deinem System aufgemacht hat. In diesem Fall kann ein Angreifer von außen Kontrolle über dein System erlangen.

Damit dir hier geholfen werden kann, sind aber genauere Angaben von dir nötig. Ein erster Schritt dazu ist ein HJT-Logfile, das du hier postest. Wie das geht, steht hier:
http://www.trojaner-board.de/17493-a...ijackthis.html

Bitte die Anleitung genau befolgen!
Gruß

marion2007 · 29.01.2007, 15:11

Logfile of HijackThis v1.99.1
Scan saved at 14:50:42, on 29.01.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://5506.rapidforum.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\PROGRAMME\MYSEARCH\BAR\1.BIN\S4BAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] REM C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] REM C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] REM SOUNDMAN.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] REM PrinTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [_winadm] C:\WINDOWS\SYSTEM\winadm.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

Franz1968 · 30.01.2007, 18:38

Hallo,
ich habe noch mal - das ist kein großer Aufwand - gegoogelt und gefunden, dass die Datei msched.exe offenbar zu diesem Backdoor-Trojaner gehört: http://www.sophos.com/security/analyses/trojdropperam.html

In der Vergangenheit hat es in diesem Forum unterschiedliche Meinungen darüber gegeben, ob nach einem Befall mit diesem Trojaner eine Neuinstallation wirklich notwendig ist oder ob es ausnahmsweise ohne geht (darüber kannst du dich mit der Board-Suche informieren).

Ich persönlich würde Windows neu installieren (siehe Unterforum "Anleitungen") und bei der Gelegenheit über ein aktuelleres Betriebssystem inklusive aller Updates nachdenken. Es wäre mir aber ganz lieb, wenn sich noch jemand anders dazu äußern könnte.

Abwägen und entscheiden musst du letztendlich selbst.

Gruß
Franz

Franz1968 · 30.01.2007, 21:43

Sorry, es heißt oben natürlich "mscheck.exe" und nicht "msched.exe".

30.01.2007, 21:43	#5
Franz1968 /// Helfer-Team	Woher weiß ich, ob ein "Trojaner Horse" komplett weg ist? Sorry, es heißt oben natürlich "mscheck.exe" und nicht "msched.exe".

Woher weiß ich, ob ein "Trojaner Horse" komplett weg ist?

Plagegeister aller Art und deren Bekämpfung: Woher weiß ich, ob ein "Trojaner Horse" komplett weg ist?