Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

Nutz bitte einmal Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Zitat:

Zitat von raman

Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

www.trojaner-board.de
www.clan-rotn.de
www.google.de
www.chip.de

Ich habe gerademittels Kommando "fixmbr" den BootSektor (Sektor 0) neu geschrieben, lasse noch einmal Antivir und Malwarebytes´Anti-Malware durchlaufen, schaue, ob der Virus nach dem letzten löschen wieder auftaucht (wenn nicht könnte er ja im BootSektor gesessen haben)!

Danach führe ich wie vorgeschlagen Combofix durch und sage jetzt schon einmal danke für die Mühe! Ich melde mich nach Vollzug wieder!

Nach dem Reinigen des BootSektors (Sektor 0) wurde keine Virensoftware gefunden.

Ich habe jetzt Combofix durchlaufen lassen.

Das Log ist beigefügt!

Allerdings identifiziert Antivir nun Combofix als Virus:

Die Datei 'C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49584a33.qua' verschoben!

Hier die Log Daten:

ComboFix 08-10-06.05 - Bernie 2008-10-07 13:28:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.679 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 ))))))))))))))))))))))))))))))
.

2008-10-07 08:53 . 2008-10-07 08:53 <DIR> d-------- C:\Programme\Trend Micro
2008-10-06 22:48 . 2008-10-06 22:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Malwarebytes
2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-06 22:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-06 22:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-06 21:19 . 2008-10-06 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Search
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Desktop Search
2008-10-06 15:25 . 2008-03-07 19:02 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-10-06 15:25 . 2008-03-07 19:02 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-10-06 15:25 . 2008-03-07 19:02 29,696 --------- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-10-06 15:13 . 2008-10-06 15:13 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-09-25 19:58 . 2008-09-25 19:58 352 --a------ C:\WINDOWS\system32\121.CPX
2008-09-24 19:34 . 2008-09-24 19:34 139,264 --a------ C:\Dokumente und Einstellungen\Bernie\77tgx.exe
2008-09-20 11:14 . 2008-09-20 11:14 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner .ISO

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 10:43 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-07 08:33 --------- d-----w C:\Programme\audiograbber
2008-10-06 19:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-06 18:31 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\OpenOffice.org2
2008-10-06 18:23 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\teamspeak2
2008-10-06 18:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-06 17:10 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-20 09:32 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner DATA
2008-09-05 21:31 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll
2008-09-05 21:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
2008-08-19 18:46 --------- d-----w C:\Programme\Lavasoft
2008-08-19 18:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2007-02-02 08:38 6,936 -c--a-w C:\Programme\pad_file.htm
2007-02-02 08:38 25,993 -c--a-w C:\Programme\pad_file.xml
2006-10-11 08:04 67,700 ----a-w C:\Programme\xpicleanup.exe
2008-05-08 09:22 32,768 -csha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050820080509\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 7630848]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"nwiz"="nwiz.exe" [2006-08-11 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 6829279361.CPX

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\7-Zip\\7zFM.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\lotrbfme.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8088:UDP"= 8088:UDP:SUM

R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2006-11-07 14976]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [ ]
S3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2007-03-06 419096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa65ef64-43f7-11dc-8d7c-00040e7b6406}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0a81e66-d6e6-11db-8b82-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Mozilla\Firefox\Profiles\y4q02os1.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 13:29:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-07 13:30:00
ComboFix-quarantined-files.txt 2008-10-07 11:29:58

Vor Suchlauf: 12 Verzeichnis(se), 136.944.312.320 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 136,938,602,496 Bytes frei

132 --- E O F --- 2008-09-10 15:28:13

Ich mach mir gleich ins Höschen!

Jetzt zeigt mir Antivir auch noch die hier:

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000022.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503a.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000030.com'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503b.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000046.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b5041.qua' verschoben!

Die Datei 'C:\WINDOWS\NIRCMD.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493d5061.qua' verschoben!

Oder sind das Dateien von Combofix, die nur für Viren gehalten werden? Bitte, lass es so sein!

Ja, da motzt Avira Combofix an. Das kannst du ignorieren.

Teste bitte folgendes bei Virustotal.com und poste den Link zu dem Ergebniss:

C:\Dokumente und Einstellungen\Bernie\77tgx.exe


Schau dir mal den Inhalt dieser Datei mit Notepad an:
C:\WINDOWS\system32\121.CPX

Notepad habe ich nicht! Wordpad zeigt jenes:

***

Ich habe außerdem die Dateien:
- 77tgx.exe
- 121.CPX
an www.Virustotal/com/de geschickt. Ergebnis:

1. 121.CPX

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 -
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 -
CAT-QuickHeal 9.50 2008.10.07 -
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 -
F-Prot 4.4.4.56 2008.10.06 -
Fortinet 3.113.0.0 2008.10.07 -
GData 19 2008.10.07 -
Ikarus T3.1.1.34.0 2008.10.07 -
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 -
McAfee 5399 2008.10.07 -
Microsoft 1.4005 2008.10.07 -
NOD32 3501 2008.10.07 -
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 -
Sophos 4.34.0 2008.10.07 -
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 -
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -
weitere Informationen
File size: 352 bytes
MD5...: cb6fbc6bf5df8db808f5216a9c3446a3
SHA1..: db0ad6eb53889e9d9d46a122ac7cea171d589b9d
SHA256: 60356c48ee3c9c8afc23a5371d84fc9b47fdc864e31388f1c0354d369d19ed73
SHA512: 9472d846c23e4fd2fa39d31f2ce00a31996d221100fbc58dc13a69e786baddef
75930cd74cb735576b8c73500992c9a929e82cd06250ccaa9600cc2bf8cb791c
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -

2. 77tgx.exe war dann der Treffer!

Datei 77tgx.exe empfangen 2008.10.07 19:05:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/35 (14.29%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.3.2 2008.10.07 -
AntiVir 7.8.1.34 2008.10.07 -
Authentium 5.1.0.4 2008.10.07 -
Avast 4.8.1248.0 2008.10.07 -
AVG 8.0.0.161 2008.10.07 -
BitDefender 7.2 2008.10.07 Trojan.Silentbanker.E
CAT-QuickHeal 9.50 2008.10.07 -
ClamAV 0.93.1 2008.10.07 -
DrWeb 4.44.0.09170 2008.10.07 -
eSafe 7.0.17.0 2008.10.07 -
eTrust-Vet 31.6.6133 2008.10.07 -
Ewido 4.0 2008.10.07 Backdoor.Agent.syr
F-Prot 4.4.4.56 2008.10.06 -
Fortinet 3.113.0.0 2008.10.07 -
GData 19 2008.10.07 Trojan.Silentbanker.E
Ikarus T3.1.1.34.0 2008.10.07 -
K7AntiVirus 7.10.487 2008.10.07 -
Kaspersky 7.0.0.125 2008.10.07 -
McAfee 5399 2008.10.07 -
Microsoft 1.4005 2008.10.07 PWS:Win32/Yaludle.A
NOD32 3501 2008.10.07 -
Norman 5.80.02 2008.10.06 -
Panda 9.0.0.4 2008.10.07 -
PCTools 4.4.2.0 2008.10.07 -
Prevx1 V2 2008.10.07 -
Rising 20.65.12.00 2008.10.07 -
SecureWeb-Gateway 6.7.6 2008.10.07 Trojan.PSW.LooksLike.Yaludle
Sophos 4.34.0 2008.10.07 -
Sunbelt 3.1.1708.1 2008.10.07 -
Symantec 10 2008.10.07 -
TheHacker 6.3.1.0.102 2008.10.07 -
TrendMicro 8.700.0.1004 2008.10.07 -
VBA32 3.12.8.6 2008.10.07 -
ViRobot 2008.10.7.1410 2008.10.07 -
VirusBuster 4.5.11.0 2008.10.07 -
weitere Informationen
File size: 139264 bytes
MD5...: e0d9147e8bdf54cf4adfa3746e70e9cc
SHA1..: 46f8b1dc03a3431006f422913942be446bdf402c
SHA256: f0a0607476b5b01a3d9fd00a5cfa294ba885552688bf5dfdab4fc7f0e97938b6
SHA512: 9356e577805b09be560d373f88df49b61583b5a471783e600a2f3f92421ae814
6833b8f4d3084e71141708bb170448a3caaed30ee85a2b046d1051a9cf3abf4a
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40163f
timedatestamp.....: 0x48d7fcd8 (Mon Sep 22 20:15:20 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2e8e 0x3000 6.49 71a2668f669768de3d3398f0160d286e
.rdata 0x4000 0x7ce 0x1000 3.19 209a001e703077d592b416f1d6980d85
.data 0x5000 0x1cd3c 0x1d000 7.93 f50a4a0c93952d762195beb3c4093b4a

( 1 imports )
> KERNEL32.dll: VirtualProtect, lstrlenA, VirtualFree, GetProcAddress, LoadLibraryA, GetModuleHandleA, VirtualAlloc, CloseHandle, WriteFile, SetFilePointer, CreateFileA, lstrcpynA, lstrcatA, GetModuleFileNameA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, HeapFree, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, HeapReAlloc, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )

WAS SOLL ICH TUN? DEN KERL LÖSCHEN?

Ja, loesch die beiden Dateien... mache einen KOmplettscan mit Antivir und ein Onlinescan mit Bitdefender: http://www.bitdefender.de/scan_de/scan8/ie.html

Hallo da draußen,

seit einiger Zeit hatte ich das gleiche Problem wie Stonie69. Als Virenscanner benutze auch ich Antivir. Im Internet habe ich bisher noch keine Lösung nachlesen können, deswegen schreibe ich hier, weil auch ich auf meiner Suche hier vorbeikam. Silentbanker scheint sich hartnäckig im Netz zu verbreiten, vielleicht kann der Eine oder Andere den Trojaner mit meinem Lösungsvorschlag ohne Windoof-Neuinstallation ebenfalls beseitigen.

Das Verhalten von Antivir und Silentbanker war genau das gleiche wie von Stonie69 beschrieben - beim Starten des PCs hat Antivir den Trojaner Silentbanker gefunden. Dabei wurden unterschiedlich viele Dateien gefunden, aber immer zwischen 3 und 6. Ich habe dann als Aktion löschen ausgewählt und dachte alles wäre gut.
Natürlich habe ich auch gleich einen Systemscan durchführen lassen, doch dabei kam nichts raus. Auch den Onlinescanner von Bitdefender habe ich ausprobiert (www.bitdefender.de), dieser Virusscanner hat auch nix mehr gefunden.

Doch beim nächsten Neustart kamen wieder diese Fehlermeldungen von Antivir. Also hab ich mir gemerkt, wo diese Dateien Liegen (...\Winxp\system32). Die Dateien sahen folgendermaßen aus:

12520437.cpx
12520850.cpx
14599099112.CPX
14599099121.CPX
14599099131.CPX
14599099151.CPX
14599099177.CPX

Wobei die Nummern variierten. Nach jedem LÖschvorgang erschienen 2 Sekunden später wieder 2 Dateien dieser Art - Sisyphus lässt grüßen.
Weil aber ansonsten keiner der beiden verwendeten Virenscanner meckerte, startete ich Linux von CD (Knoppix). Von dort aus löschte ich die Dateien und siehe da - seit dem tauchen sie nicht mehr auf! Ein erneuter Scan mit Antivir und auch dem Onlinescanner von Bitdefender brachte keine Infizierten Dateien mehr hervor, auch beim Neustart erscheinen sie nicht mehr - Silentbanker ist endlich passé!!