| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan Silentbanker?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.03.2009, 13:05
| #1 |
  |  Trojan Silentbanker? Hallo, so nun habe ich mal ein Problem (leider leider). Hatte eben ein Avira AVG Suchlauf (kompletter Systemscan) dabei wurde laut Informationen der Trojaner Silentbanker gefunden, habe mal im Internet nachgeschaut, was "APPL/PsExec.E" bedeutet. Dabei kam raus, Trojan.Silentbanker. Hier mal der Report von Avira. Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 8. März 2009 12:00
Es wird nach 1288155 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: XXX
Computername: XXX
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:14:48
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:01:31
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:01:32
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:01:32
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 23:32:43
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:03:45
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03.03.2009 17:22:49
ANTIVIR3.VDF : 7.1.2.135 157696 Bytes 07.03.2009 17:22:52
Engineversion : 8.2.0.105
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 18:44:18
AESCRIPT.DLL : 8.1.1.57 356729 Bytes 06.03.2009 17:24:59
AESCN.DLL : 8.1.1.8 127346 Bytes 06.03.2009 17:24:57
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 21:48:10
AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 17:22:54
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 17:23:53
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 06.03.2009 17:24:56
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 17:23:42
AEGEN.DLL : 8.1.1.25 336243 Bytes 06.03.2009 17:24:48
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 21:34:37
AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 17:22:48
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 21:34:32
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:01:31
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:01:31
AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 17:05:22
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:01:31
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:01:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:01:32
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:01:29
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:01:29
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: F:\Programme\Avira\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, F:, G:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Sonntag, 8. März 2009 12:00
Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz des ARK läuft bereits.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'yfpcqejn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avirarkd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATICAE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTrayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '45' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Master>
Beginne mit der Suche in 'D:\' <Daten>
D:\WoW-2.3.0.7561-deDE\DirectX\BDA.cab.part
[0] Archivtyp: CAB (Microsoft)
--> kstvtune.ax
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\' <Windows>
F:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
F:\System Volume Information\_restore{CD58BF0C-7DBD-4730-A338-62B0D7EEDBA6}\RP124\A0026930.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'G:\' <Privat>
Beginne mit der Suche in 'H:\' <Programme>
Ende des Suchlaufs: Sonntag, 8. März 2009 12:59
Benötigte Zeit: 59:44 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
13925 Verzeichnisse wurden überprüft
376020 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
376018 Dateien ohne Befall
3648 Archive wurden durchsucht
2 Warnungen
1 Hinweise
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:06:38, on 08.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\WINDOWS\Explorer.EXE F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe F:\WINDOWS\system32\RunDll32.exe F:\WINDOWS\system32\VTTimer.exe F:\WINDOWS\system32\VTtrayp.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe F:\WINDOWS\system32\ctfmon.exe F:\Programme\Windows Live\Messenger\MsnMsgr.Exe F:\Programme\Messenger\msmsgs.exe F:\Programme\Skype\Phone\Skype.exe F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE F:\Programme\ICQ6.5\ICQ.exe F:\Programme\a-squared Free\a2service.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\ICQ6Toolbar\ICQ Service.exe F:\WINDOWS\System32\svchost.exe F:\Programme\Skype\Plugin Manager\skypePM.exe F:\Programme\Windows Live\Messenger\usnsvc.exe F:\Programme\Mozilla Firefox\firefox.exe F:\WINDOWS\system32\wuauclt.exe F:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe F:\DOKUME~1\XXX\LOKALE~1\Temp\yfpcqejn.exe F:\Programme\Windows Media Player\wmplayer.exe F:\WINDOWS\system32\notepad.exe F:\Dokumente und Einstellungen\XXX\Desktop\DownloadsMF\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.icq.com/ R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "F:\WINDOWS\TEMP\E_SA6.tmp" /EF "HKCU" O4 - HKCU\..\Run: [ICQ] "F:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://F:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211038566945 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Programme\a-squared Free\a2service.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - F:\Programme\ICQ6Toolbar\ICQ Service.exe -- End of file - 5758 bytes |
|
08.03.2009, 13:48
| #2 |
| | Trojan Silentbanker? Da du mich dort so engelhaft unterstützt hast, übernehme ich natürlich.
__________________Als ich nach dem Dateinamen gegooglet habe, habe ich radmin und psexec gefunden. Das hat aber gar nichts zu bedeuten. Zudem wurde der Fund in der Systemwiederherstellung gefunden. Dort ist er ungefährlich (es sei denn, du machst eine Systemwiederherstellung). Also immer mit der Ruhe. Keine Panik auf der Titanic. ciao, andreas
__________________ |
|
08.03.2009, 13:51
| #3 |
| | Trojan Silentbanker? Gestern wurden ja bei mir durch Malwarebytes auch zwei adwares in der registry gefunden, habe sie aus der registry rausgelöscht manuell, seitdem dürfte nichts mehr kommen von den registryschlüsseln her, oder es wurde wieder etwas infiziert.
__________________jedenfalls läuft Malwareb. noch durch und dann poste ich mal das Ergebnis des Malwareb. Logs. ^^ |
|
08.03.2009, 14:04
| #4 |
| | Trojan Silentbanker? Adware ist nur nervig und nicht gefährlich. Irgendwelche Registryeinträge sind wahrscheinlich nur Reste und bewirken ohne korrespondierende Programme nichts (mit Ausnahme der DNS-Einträge). Poste auch die Funde von gestern. Du kommst an die alten Logs, wenn du auf die Registerkarte: Scan-Berichte klickst und anschliessend ein Doppelklick auf das richtige Datum machst. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
08.03.2009, 14:15
| #5 |
| | Trojan Silentbanker? Kommt gleich, die Logs und Ergebnisse von gestern ^^ |
|
08.03.2009, 15:02
| #6 |
| | Trojan Silentbanker? so, erstmal das log von jetzte, scheint sauber zu sein ^^ Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1826
Windows 5.1.2600 Service Pack 3
08.03.2009 15:03:38
mbam-log-2009-03-08 (15-03-38).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 175927
Laufzeit: 1 hour(s), 50 minute(s), 46 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1826
Windows 5.1.2600 Service Pack 3
07.03.2009 23:39:44
mbam-log-2009-03-07 (23-39-44).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 175688
Laufzeit: 1 hour(s), 42 minute(s), 38 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Not selected for removal.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Not selected for removal.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\WPA\Crypt.dll (Hacktool) -> Quarantined and deleted successfully.
|
|
08.03.2009, 15:36
| #7 | |
| | Trojan Silentbanker?Zitat:
 Erstelle bitte eine Liste der installierten Programme (Punkt 2d): http://www.trojaner-board.de/69886-a...-beachten.html Dann lasse diese beiden nach Anleitung laufen und poste jeweils das Log: http://www.trojaner-board.de/51871-a...tispyware.html http://www.trojaner-board.de/54192-a...tellungen.html Bin erst morgen abend wieder on, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
08.03.2009, 15:44
| #8 |
| | Trojan Silentbanker? Hatte Avira schon lange auf Agressive Einstellung  das eine avira log was du gesehen hattest war auch auf agressive einstellung ^^ Geändert von Angel21 (08.03.2009 um 15:57 Uhr) |
|
08.03.2009, 15:47
| #9 |
| | Trojan Silentbanker? hier meine Liste der Programme - wie erwünscht: Acrobat.com Acrobat.com Adobe AIR Adobe AIR Adobe Flash Player 9 ActiveX Adobe Reader 9 Aspell German Dictionary-0.50-2 a-squared Free 4.0 AVI Codec Pack Avira AntiVir Personal - Free Antivirus Avira RootKit Detection Camera RAW Plug-In for EPSON Creativity Suite C-Media 3D Audio CX4300_5500_DX4400 Handbuch EPSON Attach To Email EPSON Copy Utility 3 EPSON Easy Photo Print EPSON File Manager EPSON Scan EPSON Scan Assistant EPSON Web-To-Page EPSON-Drucker-Software GNU Aspell 0.50-3 GTK+ Runtime 2.12.8 rev a (nur entfernen) Hervorhebe-Funktion (Windows Live Toolbar) HijackThis 2.0.2 Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB952287) ICQ Toolbar ICQ6.5 Malwarebytes' Anti-Malware Microsoft Compression Client Pack 1.0 for Windows XP Microsoft User-Mode Driver Framework Feature Pack 1.0 Mozilla Firefox (3.0.7) OpenOffice.org 2.4 PC Wizard 2008.1.86 S3 S3Display S3 S3Gamma2 S3 S3Info2 S3 S3Overlay S3 S3TrayPlus Shareaza 2.3.1.0 Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950759) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB953838) Sicherheitsupdate für Windows XP (KB953839) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956390) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958215) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB960714) Sicherheitsupdate für Windows XP (KB960715) Skype™ 3.2 Smart Menus (Windows Live Toolbar) TeamSpeak 2 RC2 Tomb Raider - Der Fluch des Lazarus Tomb Raider - The Last Revelation (Demo) Tomb Raider II Gold (Demo) Tomb Raider III - Adventures of Lara Croft (remove only) Tomb Raider III (Demo) Tomb Raider III (Demo) Update für Windows XP (KB942763) Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) VIA/S3G Display Driver Windows Live Anmelde-Assistent Windows Live Favorites für Windows Live Toolbar Windows Live installer Windows Live Messenger Windows Live Toolbar Windows Live Toolbar Windows Live Toolbar-Erweiterung (Windows Live Toolbar) Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows XP Service Pack 3 WinRAR xp-AntiSpy 3.96-8 |
|
08.03.2009, 16:58
| #10 |
| | Trojan Silentbanker? hier das SUPERAntiSpyware log: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 03/08/2009 at 04:50 PM
Application Version : 4.25.1014
Core Rules Database Version : 3788
Trace Rules Database Version: 1745
Scan type : Complete Scan
Total Scan Time : 00:51:44
Memory items scanned : 526
Memory threats detected : 0
Registry items scanned : 3576
Registry threats detected : 0
File items scanned : 29479
File threats detected : 75
Adware.Tracking Cookie
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@insightexpressai[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@amlocalhost.trymedia[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@weborama[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.zanox[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@sevenoneintermedia.112.2o7[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@msnportal.112.2o7[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@www.zanox-affiliate[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ads.pointroll[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@serving-sys[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@adserver.71i[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.yieldmanager[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@2o7[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@atwola[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@zbox.zanox[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.71i[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@adfarm1.adition[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@tacoda[1].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@at.atwola[2].txt
F:\Dokumente und Einstellungen\xxx\Cookies\xxx@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@www.tns-counter[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@www.etracker[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.tbn[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@2o7[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@adbrite[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.600.tbn[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.adnet[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.agava.tbn[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.anw[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.rich1.adbn[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.text.tbn[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.top1.adbn[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\xxxCookies\we@ad.zanox[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.heias[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ads.vectan[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@ads2.wetter[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@adserver.71i[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@adserver.easyad[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@adtech[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@advertising[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@apmebf[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@as1.falkag[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@atdmt[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@atwola[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@atwola[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@bs.serving-sys[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@click.cashengines[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@data.coremetrics[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@doubleclick[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@eas.apm.emediate[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@engine.adnet[2].txt
C:\Dokumente und Einstellungen\xxxCookies\we@euros4click[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@fastclick[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@goclick[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@komtrack[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@mediaplex[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@mediavantage[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@rotor6.newzfind[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@serving-sys[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@upspiral[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@sutra.newzfind[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@tradedoubler[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@weborama[2].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@www.googleadservices[2].txt
C:\Dokumente und Einstellungenxxx\Cookies\we@www.upspiral[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\xxx\Cookies\we@yadro[1].txt
|
|
09.03.2009, 20:29
| #11 |
| | Trojan Silentbanker? kann ich die ganzen Adwares löschen? |
|
09.03.2009, 20:40
| #12 |
| | Trojan Silentbanker? Das sind nur Tracking Cookies, völlig ungefährlich und sie wurden schon längst gelöscht. Surfst du mit dem MSIE? Brauchst oder nutzt du die Live-Toolbar? Deinstalliere:
Adobe Flash Player Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart Systemwiederherstellung wieder aktivieren. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
09.03.2009, 20:44
| #13 |
| | Trojan Silentbanker? Ich surfte nie mit IE xD Hatte von Anfang an bei der Installation Mozilla Firefox, ich schwör auf Mozilla xD Okay, dann werde ich mich Punkt für Punkt mal ranmachen an das ganze Ich hoffe mal das mein PC dann so einigermaßen sauber und rein ist und ich unbeschwert surfen kann ^.^ |
|
09.03.2009, 20:45
| #14 |
| | Trojan Silentbanker? Was ist mit der Live-Toolbar, die ist mir (wie fast alles von MS) ein Dorn im Auge. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
09.03.2009, 20:55
| #15 |
| | Trojan Silentbanker? die mach ich danach, ich mach alle toolbars sowieso weg, brauch die ja nicht, wenns google gibt - die hab ich wohl mal mitinstalliert, als ich icq und msn installierte. |
|
| Themen zu Trojan Silentbanker? |
| antivir, antivirus, avgnt.exe, avira, bho, desktop, einstellungen, eudora, festplatte, firefox.exe, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, logon.exe, nt.dll, problem, prozesse, registry, rundll, sched.exe, services.exe, skype.exe, software, suchlauf, svchost.exe, trojan, trojaner, verweise, virus, virus gefunden, warnung, windows, windows\temp, wuauclt.exe |
Linear-Darstellung
