Hallo,

ich hab heute von anti vir ne trojaner warnung erhalten und die datei daraufhin gelöscht.
habe dann einen kompletten systemcheck durchlaufen lassen und einige trojaner gefunden und in quarantäne verschoben.
hier ein paar gefundene schädlinge:
Trojanische Pferd TR/Agent.53760.O
Trojanische Pferd TR/Agent.59904.B
Trojanische Pferd TR/Smalltroj.ELLI
Trojanische Pferd TR/Spy.Agent.34816.A
Backdoorprogramm BDS/Pcclient.578
etc.

nun würde ich gerne wissen ob ich die befallenen dateien irgendwie von den trojanern befreien kann ohne sie zu löschen, so dass ich sie wieder benutzen kann. (sind ja vorerst nur in quarantäne)
und ich hätte gerne noch gewissheit dass anti vir auch alle schädlinge gefunden hat. welche weiteren scanner könnt ihr mir dafür empfehlen?

vielen dank im voraus
melli

Hi und

Die Pfade zu den gefunden Trojaner wären nützlich
Backdoor Programm... Das schreit förmlich nach Neuaufsetzen...
Bitte poste mal ein HijackThis Logfile und lade die Datei die das "Backdoor Programm" enhält bei VirusTotal hoch.

pfad zum backdoor file:
D:\System Volume Information\_restore{A3CDC01B-DBF4-4869-8B3E-7A0F312467DE}\RP72\A0022257.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Pcclient.578
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f56715.qua' verschoben!


zur info: mein OS liegt auf C... alle trojaner und backdoor programme die gefunden wurden liegen/lagen auf D (in einem meiner alten sicherungsordner)

werde jetzt mal n hijack scan machen...
logfile kommt im nächsten post

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:23, on 09.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ICQ\ICQ6\ICQ.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Logfile\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213721430418
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
 
--
End of file - 4800 bytes
         

hab jetzt des backdoor file auf virus total hochgeladen:

MD5: 296f5e28714414230c3763cf1f9b0880
First received: 2007.05.01 01:29:47 (CET)
Datum 2008.09.08 16:48:25 (CET) [+1D]
Ergebnisse 11/36
Permalink: analisis/dc1ab13e41d3152135deb9afd3747dc6

Zitat:

Zitat von caerula

hab jetzt des backdoor file auf virus total hochgeladen:

MD5: 296f5e28714414230c3763cf1f9b0880
First received: 2007.05.01 01:29:47 (CET)
Datum 2008.09.08 16:48:25 (CET) [+1D]
Ergebnisse 11/36
Permalink: analisis/dc1ab13e41d3152135deb9afd3747dc6

Ich müsste noch wissen was genau gefunden wurde
Falls da 2, 3, 4 oder gar mehr mal steht das ein Backdoor gefunden wurde, solltest du Neuaufsetzen.

also ich hab versucht die datei nochmal bei virustotal hochzuladen aber da spinnt grad irgendwas... werds nachher nochmal probieren.

und wie gesagt... alle schädlichen dateien lagen in alten, nicht mehr verwendeten ordnern.
warum soll ich also neu aufsetzen, wenn weder highjack this noch anti vir irgendwelche weiteren viren/backdoors finden?

Zitat:

Zitat von caerula

warum soll ich also neu aufsetzen, wenn weder highjack this noch anti vir irgendwelche weiteren viren/backdoors finden?

Lies dir das mal durch ---> Klick
Vlt. verstehst du jetzt, warum Neuaufsetzen bei Backdoorinfizierung notwendig ist
Wenn nicht kann ich's dir auch in verständlicheren Worten erklären

grüsse trojan-death