|
Plagegeister aller Art und deren Bekämpfung: Befallene dateien vom trojanischen Pferd befreienWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.09.2008, 20:56 | #1 |
| Befallene dateien vom trojanischen Pferd befreien Hallo, ich hab heute von anti vir ne trojaner warnung erhalten und die datei daraufhin gelöscht. habe dann einen kompletten systemcheck durchlaufen lassen und einige trojaner gefunden und in quarantäne verschoben. hier ein paar gefundene schädlinge: Trojanische Pferd TR/Agent.53760.O Trojanische Pferd TR/Agent.59904.B Trojanische Pferd TR/Smalltroj.ELLI Trojanische Pferd TR/Spy.Agent.34816.A Backdoorprogramm BDS/Pcclient.578 etc. nun würde ich gerne wissen ob ich die befallenen dateien irgendwie von den trojanern befreien kann ohne sie zu löschen, so dass ich sie wieder benutzen kann. (sind ja vorerst nur in quarantäne) und ich hätte gerne noch gewissheit dass anti vir auch alle schädlinge gefunden hat. welche weiteren scanner könnt ihr mir dafür empfehlen? vielen dank im voraus melli |
08.09.2008, 21:00 | #2 |
| Befallene dateien vom trojanischen Pferd befreien Hi und
__________________Die Pfade zu den gefunden Trojaner wären nützlich Backdoor Programm... Das schreit förmlich nach Neuaufsetzen... Bitte poste mal ein HijackThis Logfile und lade die Datei die das "Backdoor Programm" enhält bei VirusTotal hoch.
__________________ |
09.09.2008, 16:47 | #3 |
| Befallene dateien vom trojanischen Pferd befreien pfad zum backdoor file:
__________________D:\System Volume Information\_restore{A3CDC01B-DBF4-4869-8B3E-7A0F312467DE}\RP72\A0022257.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Pcclient.578 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f56715.qua' verschoben! zur info: mein OS liegt auf C... alle trojaner und backdoor programme die gefunden wurden liegen/lagen auf D (in einem meiner alten sicherungsordner) werde jetzt mal n hijack scan machen... logfile kommt im nächsten post |
09.09.2008, 17:08 | #4 |
| Befallene dateien vom trojanischen Pferd befreienCode:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:52:23, on 09.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\CASIO\Photo Loader\Plauto.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\System32\svchost.exe D:\Programme\ICQ\ICQ6\ICQ.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Logfile\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213721430418 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- End of file - 4800 bytes Geändert von caerula (09.09.2008 um 17:33 Uhr) |
09.09.2008, 17:27 | #5 |
| Befallene dateien vom trojanischen Pferd befreien hab jetzt des backdoor file auf virus total hochgeladen: MD5: 296f5e28714414230c3763cf1f9b0880 First received: 2007.05.01 01:29:47 (CET) Datum 2008.09.08 16:48:25 (CET) [+1D] Ergebnisse 11/36 Permalink: analisis/dc1ab13e41d3152135deb9afd3747dc6 |
09.09.2008, 19:24 | #6 | |
| Befallene dateien vom trojanischen Pferd befreienZitat:
Falls da 2, 3, 4 oder gar mehr mal steht das ein Backdoor gefunden wurde, solltest du Neuaufsetzen.
__________________ --> Befallene dateien vom trojanischen Pferd befreien |
13.09.2008, 10:45 | #7 |
| Befallene dateien vom trojanischen Pferd befreien also ich hab versucht die datei nochmal bei virustotal hochzuladen aber da spinnt grad irgendwas... werds nachher nochmal probieren. und wie gesagt... alle schädlichen dateien lagen in alten, nicht mehr verwendeten ordnern. warum soll ich also neu aufsetzen, wenn weder highjack this noch anti vir irgendwelche weiteren viren/backdoors finden? |
13.09.2008, 10:50 | #8 | ||
| Befallene dateien vom trojanischen Pferd befreienZitat:
Vlt. verstehst du jetzt, warum Neuaufsetzen bei Backdoorinfizierung notwendig ist Wenn nicht kann ich's dir auch in verständlicheren Worten erklären grüsse trojan-death
__________________ Kein Support per PN Zitat:
|
Themen zu Befallene dateien vom trojanischen Pferd befreien |
anti, anti vir, befreien, datei, dateien, empfehlen, erhalte, erhalten, heute, komplette, löschen, pferd, quarantäne, rojaner gefunden, scan, scanner, schädlinge, systemcheck, troja, trojaner, trojaner gefunden, trojanern, trojanische, trojanischen, vorerst, warnung, wissen, würde |