|
Plagegeister aller Art und deren Bekämpfung: Kennt jemand den Trojaner: TR/Spy.MSN.C?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.06.2008, 09:16 | #1 |
| Kennt jemand den Trojaner: TR/Spy.MSN.C? Guten Tag zusammen, mein AntiVir zeigt mir in letzter Zeit immer öfter eine Trojanerwarnung mit verschiedenen Trojanern, unter anderem TR/Spy.MSN.C Ich hab jetzt schon mit AntiVir den Großteil gelöscht, allerdings weiß ich nicht, ob das wirklich reicht. Dazu hab ich auch noch mit SpyBot Search & Destroy alles behoben (zum großen Teil Cookies) was mir das Programm empfohlen hat. Kann mir vielleicht jemand sagen, um was für eine Art Trojaner es sich handelt, wie ich ihn zuverlässig wieder loswerde und ob er gefährlich ist? Hier meine HijackThis logfile nach AntiVir und SpyBot scan: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:15:37, on 24.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\IoctlSvc.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [WinVNC] "d:\Programme\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 4460 bytes Vielen dank im Voraus! Alexander |
24.06.2008, 09:31 | #2 |
/// Helfer-Team | Kennt jemand den Trojaner: TR/Spy.MSN.C? Du solltest dir SP3 für XP installieren, evtl auch auf den IE7 gehen.
__________________Deine Java Version ist veraltet. Deinstalliere dein Java in der Systemsteuerung -> Software und lade dir das JRE 1.6.0 Update 6 bei Developer Resources for Java Technology herunter. Hast du im PC ein Raid System? Du hast aufjedenfall einen Trojaner im System. Lad mal bitte die Datei: C:\WINDOWS\system\smvss.exe bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste das Ergebnis hier. Hast du dir UltraVNC installiert?
__________________ |
24.06.2008, 10:09 | #3 |
| Kennt jemand den Trojaner: TR/Spy.MSN.C? Hey vielen dank für die schnelle Antwort!
__________________was genau ist ein Raid System? Ultra VNC hab ich zwar im mom nicht installiert, aber hab die setupdatei noch und könnte es innerhalb einer min installieren und danke für den tipp mit dem java und dem sp3 hier das Ergebnis: Datei smvss.exe empfangen 2008.06.24 11:04:28 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 12/33 (36.37%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.24.0 2008.06.24 - AntiVir 7.8.0.59 2008.06.23 - Authentium 5.1.0.4 2008.06.24 W32/Heuristic-114!Eldorado Avast 4.8.1195.0 2008.06.23 - AVG 7.5.0.516 2008.06.24 - BitDefender 7.2 2008.06.24 Trojan.Proxy.Horst.APO CAT-QuickHeal 9.50 2008.06.23 - ClamAV 0.93.1 2008.06.24 - DrWeb 4.44.0.09170 2008.06.24 - eSafe 7.0.17.0 2008.06.24 Suspicious File eTrust-Vet 31.6.5900 2008.06.24 - Ewido 4.0 2008.06.23 - F-Prot 4.4.4.56 2008.06.23 W32/Heuristic-114!Eldorado F-Secure 7.60.13501.0 2008.06.20 W32/Horst.gen28 Fortinet 3.14.0.0 2008.06.24 - GData 2.0.7306.1023 2008.06.24 - Ikarus T3.1.1.26.0 2008.06.24 BehavesLikeWin32.ExplorerHijack Kaspersky 7.0.0.125 2008.06.24 Heur.Trojan.Generic McAfee 5323 2008.06.23 - Microsoft None 2008.06.24 - NOD32v2 3211 2008.06.24 - Norman 5.80.02 2008.06.23 W32/Horst.gen28 Panda 9.0.0.4 2008.06.23 Suspicious file Prevx1 V2 2008.06.24 - Rising 20.50.10.00 2008.06.24 - Sophos 4.30.0 2008.06.24 Mal/Horst Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.24 W32.Dedler.Worm TheHacker 6.2.92.359 2008.06.24 - TrendMicro 8.700.0.1004 2008.06.24 PAK_Generic.001 VBA32 3.12.6.8 2008.06.23 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.24 - weitere Informationen File size: 35328 bytes MD5...: abf55a29acf9c9d3d0758bdc9fe9ff48 SHA1..: 4b0d6ff76d9952ff63bc9454104ce62a61c22b17 SHA256: ac116d70e3157288825dbdba1177fc390f5352a043b608897afeea7133bf3c64 SHA512: 2d1212d9a3388e2acefbdeaeb04bd49d4814f5e184ff26f7c8a1ccb4738e9b37 6bf6d0c5e2ceac27dfc53d140ef902931cf1a3173e48063c2086e0a6a627fbf1 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x418180 timedatestamp.....: 0x47f2a856 (Tue Apr 01 21:25:42 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xf000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x10000 0x9000 0x8400 7.90 9a19fae7b2b5f70a130e0cbc99c8b332 UPX2 0x19000 0x1000 0x200 3.27 3e33a1585a81a023371473ddf004f68c ( 5 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.dll: RegCloseKey > USER32.dll: GetWindow > WININET.dll: InternetOpenA > WS2_32.dll: - ( 0 exports ) packers (Kaspersky): PE_Patch.UPX, UPX packers (Authentium): UPX packers (F-Prot): UPX ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. |
25.06.2008, 11:43 | #4 |
| Kennt jemand den Trojaner: TR/Spy.MSN.C? Ich möchte ja nicht nerven, aber was muss ich denn jetzt machen, um den trojaner zu entfernen?! |
25.06.2008, 12:15 | #5 |
Gesperrt | Kennt jemand den Trojaner: TR/Spy.MSN.C? Hi, Also das seht Schädlich aus : O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w Aber fix es noch nicht da es unter Windows ist.... Warte noch die meinung von anderen ab.... |
28.06.2008, 10:26 | #6 |
/// Helfer-Team | Kennt jemand den Trojaner: TR/Spy.MSN.C? Lass bitte einmal MalwareBytes über das System scannen. Vorher aber bitte den Eintrag mit smvss.exe fixen.
__________________ --> Kennt jemand den Trojaner: TR/Spy.MSN.C? |
28.06.2008, 20:48 | #7 |
| Kennt jemand den Trojaner: TR/Spy.MSN.C? hier das ergebnis von malware: Malwarebytes' Anti-Malware 1.18 Datenbank Version: 898 21:47:00 28.06.2008 mbam-log-6-28-2008 (21-47-00).txt Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|) Objekte gescannt: 103229 Scan Dauer: 16 minute(s), 59 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: E:\Setups\Ahead Nero v8.3.2.1 ()\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully Was meinst du mit:"vorher aber den Eintarg mit smvss.exe fixen"? |
28.06.2008, 21:14 | #8 |
/// Helfer-Team | Kennt jemand den Trojaner: TR/Spy.MSN.C? Mit dem Eintrag in der infizierten Datei hast du dich für weiteren support - bei mir - disqualifiziert.
__________________ Kein Support per PM! |
Themen zu Kennt jemand den Trojaner: TR/Spy.MSN.C? |
adobe, antivir, antivirus, avg, avira, bho, ctfmon.exe, dll, explorer, gservice, handel, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, nvidia, programm, programme, rundll, scan, software, system, trojaner, windows, windows xp |