|
Plagegeister aller Art und deren Bekämpfung: Wurm und Trojaner gefunden - Was jetzt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.11.2008, 15:22 | #1 |
| Wurm und Trojaner gefunden - Was jetzt? Moin zusammen, wie mein Name sagt bin ich relativ unbegabt in Computer-Angelegenheiten! Ich habe mir Avira runtergeladen und mein System scannen lassen, avira (also die Gratis-Version) hat prompt einen Wurm (WORM/IrcBot.353792) und einen Trojaner (TR/Packed.6318) gefunden. Diese habe ich in Quarantäne verschoben. Nun zu meiner Frage: Ich habe mich seit dem Scan versucht über Virenbekämpfung schlau zu machen und bin dabei auf dieser Seite auf Beiträge zu HijackThis gelandet. Mir ist jetzt nicht recht klar ob nach der Verschiebung des Virus und des Trojaners noch eine Gefahr für meine Datensicherheit besteht (z.B. weil bereits irgendwelche Dinge im Hintergrund geändert wurden) oder ob ich wieder mit einem neuen Passwort z.B. sicher online-banking betreiben kann. Ich hoffe mein Problem ist klar und das ihr auch Beiträge für Dummys schreibt. |
03.11.2008, 15:27 | #2 |
| Wurm und Trojaner gefunden - Was jetzt? Poste bitte das HiJack-log und das Log von Malewarebytes.
__________________ |
03.11.2008, 15:31 | #3 |
| Wurm und Trojaner gefunden - Was jetzt? Gut, dann versuche ich jetzt HijackThis runterzuladen, was ist malwarebytes?
__________________ |
03.11.2008, 15:32 | #4 |
| Wurm und Trojaner gefunden - Was jetzt? http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html |
03.11.2008, 15:36 | #5 |
| Wurm und Trojaner gefunden - Was jetzt? Ok Hijack-Log wie folgt (hoffentlich veröffentliche ich hier nix vertrauliches ): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:33:26, on 03.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lexmark 1200 Series\lxczbmgr.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Lexmark 1200 Series\lxczbmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++tp://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programme\Lexmark 1200 Series\lxczbmgr.exe" O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - h++p://www.diwa.info/ecwplugins/ncs.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h++p://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5368/mcfscan.cab O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 5876 bytes |
03.11.2008, 15:46 | #6 |
| Wurm und Trojaner gefunden - Was jetzt? Der malwarebytes-scan läuft noch... hat aber jetzt schon 2 infizierte Objekte gefunden! Zwischenzeitlich hat der Guard von Avira den Wurm nochmal woanders gefunden. Den habe ich auch in Quarantäne geschickt. Geändert von Greenhorn235 (03.11.2008 um 15:56 Uhr) |
03.11.2008, 16:45 | #7 |
| Wurm und Trojaner gefunden - Was jetzt? Ok, Malwareb ist fertig und sagt folgendes: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1358 Windows 5.1.2600 Service Pack 3 03.11.2008 16:38:37 mbam-log-2008-11-03 (16-38-37).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 116961 Laufzeit: 59 minute(s), 26 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\ARK2C.tmp (Backdoor.Bot) -> Delete on reboot. C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully. |
04.11.2008, 15:05 | #8 |
| Wurm und Trojaner gefunden - Was jetzt? Hat irgendwer mit Ahnung kurz Zeit sich meine Logs anzuschauen? Wenn ja schonmal vielen Dank im voraus!! |
Themen zu Wurm und Trojaner gefunden - Was jetzt? |
avira, dinge, e-banking, frage, gefahr, geändert, hijack, hijackthis, hintergrund, neue, neuen, online-banking, passwort, problem, quarantäne, recht, relativ, rojaner gefunden, scan, scannen, seite, sicherheit, system, trojaner, trojaner gefunden, virus, wurm |