| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.DownloaderWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.07.2008, 12:41
| #1 |
| Gesperrt |  Trojan.Downloader Hi, ich hab mal wieder ein Problem. Diesmal aber nicht auf meinem PC. Also ich habe wie immer einen Malwarebytesscan gemacht. Diesmal hat er was gefunden, und zwar auf der externen Festplatte. Der Trojan.Downloader. Mit der externen wurde lange nichts mehr gemacht, nur wurde letztens ein Spiel installiert. Meine Frage: Was soll ich jetzt machen. Fehlalarm oder niht? EInfach Trojan.Downloader löschen? Hier kommt auch nich das HijackThis Logfile. VOn Malwarbytes kann ich noch keins posten weil ich bis jetzt noch das Fenster mit den Ergebnis geöffbet habe, ich hoffe ihr könnt schnell helfen. Sauron66 EDIT: habe Datei in Quarantäne. Hier das Malwarbytes Log: Malwarebytes' Anti-Malware 1.22 Datenbank Version: 982 Windows 5.1.2600 Service Pack 3 13:44:47 23.07.2008 mbam-log-7-23-2008 (13-44-47).txt Scan-Methode: Vollständiger Scan (A:\|C:\|E:\|F:\|) Durchsuchte Objekte: 137054 Laufzeit: 1 hour(s), 3 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: F:\System Volume Information\_restore{78DCF547-4A02-4F67-9DF5-4ACA15D2470F}\RP3\A0012991.exe (Trojan.Downloader) -> Quarantined and deleted successfully. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:39:39, on 23.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Gemeinsame Dateien\AOL\1186346259\ee\AOLSoftware.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\SiteAdvisor\6261\SiteAdv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\McAfee.com\Agent\mcagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Packard Bell Data Secure\PBDataSecure.exe C:\COOLSP~1\PERSON~1\PID.EXE C:\Programme\AOL 9.0\aoltray.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\SiteAdvisor\6261\SAService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\McAfee\VirusScan\McShield.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h+p://+ww.update.microsoft.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://+ww.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+p://+ww.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt+://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht+tp://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = ht+p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1186346259\ee\AOLSoftware.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Packard Bell Data Secure] C:\Programme\Packard Bell Data Secure\PBDataSecure.exe O4 - HKCU\..\Run: [Personal ID] C:\COOLSP~1\PERSON~1\PID.EXE O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1186221583203 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan\McShield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 7712 bytes Geändert von sauron66 (23.07.2008 um 12:46 Uhr) |
|
23.07.2008, 13:06
| #2 |
  | Trojan.Downloader Hallo Sauron
__________________Es handelt sich da um einen Fund in der Systemwiederherstellung auf der externen FP. Stecke diese an den Rechner an und über Start, Systemsteuerung, System --> Systemwiederherstellung. Hier kannst du jetzt deaktivieren für alle Laufwerke einstellen oder auch nur auf dem LW F: Wenn ansonsten dein Rechner ohne Probleme läuft, kannst du das auch auf alle LW deaktivieren. Rechner dann ausschalten. Einen moment aus lassen und dann wieder einschalte. Jetzt kannst du die Systemwiederherstellung einschalten aber nur auf das LW, auf welchen sein System sich befindet reicht aus. Dein HJT-Log sieht ansonsten gut aus. |
|
23.07.2008, 13:11
| #3 |
| Gesperrt | Trojan.Downloader Danke für die sehr schnelle Antwort. Also wenn sich der Fund in der Systemwiederherstellung befindet bedeutet das dann dass er nicht aktuell ist, also keinen Schaden anrichten kann? Also muss ich jetzt nur die Systemwiederherstellung für die Externe ausschalten. ?
__________________Ja der Pc läuft normal. Keine Einschränkungen. |
|
24.07.2008, 11:24
| #5 |
| Gesperrt | Trojan.Downloader Vielen Dank, werde ich gleich machen.  Ich habe noch eine allgemeine Frage. Die inizierte Datei ist ja jetzt unter Quarantäne bei Malwarebytes. Ist sie dadurch jetzt unschädlich gemacht, oder soll ich sie aus der Quarantäne auch noch löschen? |
|
24.07.2008, 12:40
| #6 |
| | Trojan.Downloader Die Datei ist gelöscht. (Trojan.Downloader) -> Quarantined and deleted successfully. Mit dem deaktivieren der Systemwiederherstellung verschwinden dann auch die Einträge. |
|
| Themen zu Trojan.Downloader |
| 1.exe, ad-aware, adobe, bho, explorer, fehlalarm, firefox, firewall, frage, helper, hijack, hijackthis, hkus\s-1-5-18, home, icq, internet, internet explorer, löschen, löschen?, microsoft, mozilla, mozilla firefox, packard bell, pdf, programme, quara, registrierungsschlüssel, siteadvisor, software, system, system volume information, trojan.downloader, urlsearchhook, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
