|
Plagegeister aller Art und deren Bekämpfung: TR/Silentbanker.EWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.09.2008, 14:44 | #1 |
| TR/Silentbanker.E Ich brauche Eure Hilfe: Antivir sagt mir: "In der Datei 'C:\WINDOWS\system32\33883343101.CPX' wurde ein Virus oder unerwünschtes Programm 'TR/Silentbanker.E' [trojan] gefunden." Nach löschen und Neustart ist der Trojaner wieder da. Was kann ich tun? Bitte um Hilfe! Betriebssystem ist XP SP2 |
17.09.2008, 15:25 | #2 |
| TR/Silentbanker.E Nutze einmal SDFix nach Anleitung
__________________http://www.hijackthis-forum.de/showpost.php?p=195786&postcount=8 Abgesicherter Modus: http://www.trojaner-board.de/63335-windows-abgesicherten-modus-starten.html Poste den von SDfix erstellten Report.
__________________ |
17.09.2008, 16:07 | #3 |
| TR/Silentbanker.E Hier der Bericht von SDFix:
__________________SDFix: Version 1.226 Run by Administrator on 17.09.2008 at 16:58 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File SilentBanker/PWS:Win32/Yaludle.A found! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "aux1"="wdmaud.drv" Restoring aux1 registry value to wdmaud.drv Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\system32\12617236631.CPX - Deleted C:\WINDOWS\system32\126172366312.CPX - Deleted C:\WINDOWS\system32\126172366321.CPX - Deleted C:\WINDOWS\system32\126172366366.CPX - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-17 17:03:18 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:000000a6 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung" "%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"="%ProgramFiles%\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger" "%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console" "%ProgramFiles%\\Skype\\Phone\\Skype.exe"="%ProgramFiles%\\Skype\\Phone\\Skype.exe:*:enabled:Skype" "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe:*:Enabled:CyberLink PowerCinema" "C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program" "C:\\Programme\\KODAK\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"="C:\\Programme\\KODAK\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe:*isabled:backWeb-7288971" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung" "%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"="%ProgramFiles%\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger" "%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console" "%ProgramFiles%\\Skype\\Phone\\Skype.exe"="%ProgramFiles%\\Skype\\Phone\\Skype.exe:*:enabled:Skype" "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:Enabled:AOL" "C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:Enabled:AOL" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Sun 9 Oct 2005 8 ..SHR --- "C:\WINDOWS\system32\A3DA537E26.sys" Fri 16 Sep 2005 1,847,296 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\launcher.exe" Fri 22 Apr 2005 95,232 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\RmvSuite.exe" Tue 6 Sep 2005 36,864 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\setuplng.dll" Tue 24 May 2005 20,480 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\unregwtr.exe" Wed 17 Sep 2008 108 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys" Finished! |
17.09.2008, 16:13 | #4 |
| TR/Silentbanker.E Nun sollte Antivir den Trojaner nicht mehr melden!? Wir sollten aber lieber auf Nummer sicher gehen. Nutze bitte Combofix: Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
__________________ MfG Ralf |
18.09.2008, 14:25 | #5 |
| TR/Silentbanker.E Vielen lieben Dank roman. Ich habe alles so gemacht und der Trojaner ist weg. Ich bin Dir sehr dankbar. |
18.09.2008, 14:33 | #6 |
| TR/Silentbanker.E HAst du Combofix genutzt? Falls ja, poste bitte den erzeugten Report. Denke bitte daran, das u.U. nicht alle Malware entfernt wurde und daran, das du alle Passworte aendern musst, die auf dem Rechner genutzt und/oder gespeichert wurden! Besonders in Bezug auf Onlinebanking!
__________________ --> TR/Silentbanker.E |
Themen zu TR/Silentbanker.E |
antivir, bitte um hilfe, brauche, c:\windows, datei, gefunde, löschen, neustart, programm, sp2, system, system32, troja, trojan, trojaner, unerwünschtes, unerwünschtes programm, virus, windows |