![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojan.Silentbanker.E gefunden und entfernt - was jetzt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Trojan.Silentbanker.E gefunden und entfernt - was jetzt? Guten Morgen! Ich bin neu hier und gebe mir Mühe, euren Anforderungen gerecht zu werden. Allerdings ist es schwierig, sich in diesem Dschungel zurecht zu finden. Das liegt natürlich nicht an euch, denn diese Webseite ist sehr gut gelungen und ihr versucht, diese komplizierten Abläufe einfach darzustellen. Nein, es liegt wohl an mir! Ich war zunächst äußerst hektisch, als mich zum erstenmal in diesem Leben ein Trojaner erwischte: Virus Total findet ihn mit folgenden Programmen unter folgenden Namen: BitDefender und GData: Trojan.Silentbanker.E F-Secure: Trojan.Win32.Agentaflz Fortinet: Virus.W32/Agent.AFLZ!tr Ikarus: Virus.Trojan.Win32.Agent.aflz Kaspersky: Trojan.Win32.Agent.aflz Micrisoft: PWS:Win32/Yaludle.APrevxl: Banking Info Stealer SecurWebGateway: Trojan.PSW.LooksLike.Yaludie Sophos: Mal/Generic-A Gefunden wurde er von mir bei Antivir: In der Datei 'C:\WINDOWS\system32\6829279361.CPX' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Löschen mit Antivir klappte nicht-, der Trojaner tauchte ständig wieder auf und meldete mit Piepsen jeweils 8fach einen Fund in der o.a. cpx-Datei. Und dann tat ich etwas, vor dem ihr warnt (hab ich erst hinterher gelesen) und habe etliche Malwareprogramme durchlaufen lassen. Malwarebytes´Antimalware hat den Virus dann gefunden und die Löschung scheint funktioniert zu haben, denn Antivir findet ihn nicht mehr! Bin ich jetzt sicher? Ist noch etwas zu tun! Ich will nicht das ganze System crashen!? Im Übrigen benutze ich keine gecrackte Software!!! Hijack - Logfile lässt sich nicht hochladen, daher poste ich sie so: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:15:40, on 07.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\SearchProtocolHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O1 - Hosts: 85.214.81.70 l2authd.lineage2.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 5615 bytes |
![]() | #2 |
![]() | ![]() Trojan.Silentbanker.E gefunden und entfernt - was jetzt? Der Virus wurde im Übrigen schon hier gepostet. Da der Post nicht viel hergab und weder den Hijack.log noch andere Hinweise enthielt und ich keine Antwort in dem Thread verfassen kann, habe ich einen neuen Thread gepostet.
__________________Auch andere Internetseiten weisen auf die verschiedene Funde dieses Trojaners in den letzten Tagen vermehrt hin! Es scheint ein aggressives Kerlchen zu sein! http://www.trojaner-board.de/61364-t...gent-aflz.html http://www.trojaner-board.de/61407-s...ifizieren.html http://www.trojaner-board.de/60550-s...r-ist-tot.html http://www.trojaner-board.de/60918-s...ys-values.html Geändert von Stonie69 (07.10.2008 um 09:20 Uhr) |
![]() | #3 |
![]() | ![]() Trojan.Silentbanker.E gefunden und entfernt - was jetzt? Neue Logdatei nach Entfernen der Malware: :aplaus:
__________________ähem: Der kleine Mistkerl hat sich zurückgemeldet! Fund durch Antivir - Malwarebytes´Antimalware findet ihn nicht mehr! Erste Maßnahme: Alle Konten - Pins über anderen Rechner geändert! Jetzt gehts los: Ich werde, sofern keine andere Anweisung kommt, mit der Windows - CD booten und zunächst den Bootsektor neu schreiben lassen! Mal sehen, was es hilft, ich komme dann neu! Geändert von Stonie69 (07.10.2008 um 09:27 Uhr) Grund: Trojaner ist in der Datei 11.cpx wieder da! |
![]() | #4 |
![]() ![]() ![]() ![]() | ![]() Trojan.Silentbanker.E gefunden und entfernt - was jetzt? Wo genau hat Antivir den silentbanker gemeldet?
__________________ MfG Ralf |
![]() | #5 |
![]() | ![]() Trojan.Silentbanker.E gefunden und entfernt - was jetzt? In der Datei 'C:\WINDOWS\system32\6829279361.CPX' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden. Ausgeführte Aktion: Datei löschen |
![]() | #6 |
![]() ![]() ![]() ![]() | ![]() Trojan.Silentbanker.E gefunden und entfernt - was jetzt? Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat? Nutz bitte einmal Combofix: Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.
__________________ --> Trojan.Silentbanker.E gefunden und entfernt - was jetzt? |
![]() |
Themen zu Trojan.Silentbanker.E gefunden und entfernt - was jetzt? |
ad-aware, adobe, antivir, avira, bho, defender, dll, dsl, explorer, firefox, gdata, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nvidia, pdf, pop-up-blocker, programme, rundll, software, solution, system, trojaner, urlsearchhook, will nicht, windows, windows xp, windows xp sp3, xp sp3 |