Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.01.2010, 14:35   #1
ani
 
AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Unglücklich

AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder



Hallo ihr Lieben,
ich habe heute schon viel gegoogelt, aber immer noch nicht arg viel schlauer geworden.
Ich habe zwar viele ähnliche Probleme gefunden, aber nun bin ich noch verwirrter als vorher, weil jeder etwas anderes sagt.
Deshalb dachte ich, ich poste hier mein konkretes Problem, dann kann ich sicher sein, dass ich nichts falsch mache. Ich muss dazu sagen, dass ich mich nicht besonders gut auskenne mit solchen Dingen. Also seid nicht böse, wenn ich was nicht auf Anhieb blicke. Also:

Heute morgen hat unser AntiVir 2 Trojaner gefunden und zwar TR/Horse.MG.
Meine Mum (die sich genauso wenig auskennt) hat dann einfach mal auf "In Quarantäne verschieben" geklickt. Soweit so gut.
Was mich wundert: Beide Dateien sind auf einer externen Festplatte (die immer angeschlossen ist), eine im Ordner eines Spiels und eine in einem Verzeichnis "System Volume Information", das es aber auf dieser Festplatte gar nicht gibt? (Auch nicht unsichtbar.) Oder liegt das daran, dass die Dateien nun in Quarantäne sind und deshalb dort auch nicht mehr zu sehen sind? Ich weiß es nicht...

Auf jeden Fall habe ich erstmal ein paar Dateien gesichert, falls irgendwas schlimmes passieren sollte. Allerdings will ich gern den Virus beseitigen, ohne zu formatieren (falls es möglich wäre).

Dann habe ich nach dem Problem gesucht und ähnliche Probleme gefunden. Die Lösungsansätze haben mich nicht wirklich weitergebracht.

Die einen meinten, in Quarantäne verschieben und dann löschen reicht.
Allerdings habe ich woanders gelesen, dass man das auf keinen Fall machen soll, sondern erstmal wieder aus der Quarantäne herausholen und bei VirusTotal hochladen soll. Weil es sein könnte, dass AntiVir sich irrt und man dann versehentlich eine sehr wichtige Datei löschen könnte.
Das habe ich diesem Post: http://forum.avira.de/wbb/index.php?page=Thread&postID=815088#post815088

Könnt ihr mir sagen, was ich in meinem Fall hier tun soll? Ich will auf keinen Fall was falsch machen.

Falls ihr noch irgendwelche Angaben braucht, gebt mir bitte Bescheid.

Ich hoffe hier kann mir jemand weiterhelfen. :/

Alt 28.01.2010, 14:47   #2
MalwareHero
 
AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Standard

AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder



Zitat:
Zitat von ani Beitrag anzeigen

Könnt ihr mir sagen, was ich in meinem Fall hier tun soll? Ich will auf keinen Fall was falsch machen.

Falls ihr noch irgendwelche Angaben braucht, gebt mir bitte Bescheid.

Ich hoffe hier kann mir jemand weiterhelfen. :/

Guten Tag,

bisher hast du alles richtig gemacht. Ich brauche folgende Information

> Gebe mal die Fundmeldungen von Avira hier an. Welche Dateien wurden als Trojaner gemeldet? Bitte die ganzen Pfade der infizierten Dateien angeben.

> Lade dir HijackThis runter und fertige ein Log an, das du dann hier in das Thread kopierst.

lg.
__________________


Alt 28.01.2010, 15:01   #3
ani
 
AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Standard

AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder



Ich hoffe mal ich hab alles richtig gemacht mit dem Ersetzen der persönlichen Informationen und so.

Zitat:
logfile of trend micro HijackThis v2.0.2
scan saved at 15:00:13, on 28.01.2010
platform: Windows xp sp2 (winnt 5.01.2600)
msie: Internet explorer v6.00 sp2 (6.00.2900.2180)
boot mode: Normal

running processes:
C:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\programme\avira\antivir desktop\sched.exe
c:\programme\avira\antivir desktop\avguard.exe
c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe
c:\programme\bonjour\mdnsresponder.exe
c:\programme\icq6toolbar\icq service.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\svchost.exe
c:\programme\ipod\bin\ipodservice.exe
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\programme\avmwlanstick\fritzwlanmini.exe
c:\programme\avira\antivir desktop\avgnt.exe
c:\programme\itunes\ituneshelper.exe
c:\windows\rthdcpl.exe
c:\programme\canon\myprinter\bjmyprt.exe
c:\windows\system32\ctfmon.exe
c:\programme\messenger\msmsgs.exe
c:\programme\openoffice.org 3\program\soffice.exe
c:\windows\alcfdrtm.exe
c:\programme\openoffice.org 3\program\soffice.bin
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\mozilla firefox\firefox.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\wuauclt.exe
c:\programme\avira\antivir desktop\avscan.exe
c:\dokumente und einstellungen\xxx\eigene dateien\downloads\hijackthis.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = h**p://start.icq.com/
r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
r3 - urlsearchhook: (no name) - - (no file)
r3 - urlsearchhook: Icqtoolbar - {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\icqtoolbar.dll
o3 - toolbar: Icqtoolbar - {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\programme\icq6toolbar\icqtoolbar.dll
o4 - hklm\..\run: [avmwlanclient] c:\programme\avmwlanstick\fritzwlanmini.exe
o4 - hklm\..\run: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
o4 - hklm\..\run: [quicktime task] "c:\programme\quicktime\qttask.exe" -atboottime
o4 - hklm\..\run: [ituneshelper] "c:\programme\itunes\ituneshelper.exe"
o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
o4 - hklm\..\run: [skytel] skytel.exe
o4 - hklm\..\run: [alcmtr] alcmtr.exe
o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hklm\..\run: [nwiz] nwiz.exe /install
o4 - hklm\..\run: [canonmyprinter] c:\programme\canon\myprinter\bjmyprt.exe /logon
o4 - hklm\..\run: [canonsolutionmenu] c:\programme\canon\solutionmenu\cnslmain.exe /logon
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [msmsgs] "c:\programme\messenger\msmsgs.exe" /background
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokaler dienst')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netzwerkdienst')
o4 - hkus\s-1-5-21-515967899-2049760794-725345543-1005\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'xxx')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o4 - s-1-5-21-515967899-2049760794-725345543-1005 startup: Openoffice.org 3.1.lnk = c:\programme\openoffice.org 3\program\quickstart.exe (user 'xxx')
o4 - startup: Openoffice.org 3.1.lnk = c:\programme\openoffice.org 3\program\quickstart.exe
o9 - extra button: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe
o9 - extra 'tools' menuitem: Icq6 - {e59eb121-f339-4851-a3ba-fe49c35617c2} - c:\programme\icq6.5\icq.exe
o9 - extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: Windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\programme\messenger\msmsgs.exe
o23 - service: Avira antivir planer (antivirschedulerservice) - avira gmbh - c:\programme\avira\antivir desktop\sched.exe
o23 - service: Avira antivir guard (antivirservice) - avira gmbh - c:\programme\avira\antivir desktop\avguard.exe
o23 - service: Apple mobile device - apple inc. - c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe
o23 - service: Bonjour-dienst (bonjour service) - apple inc. - c:\programme\bonjour\mdnsresponder.exe
o23 - service: Icq service - unknown owner - c:\programme\icq6toolbar\icq service.exe
o23 - service: Ipod-dienst (ipod service) - apple inc. - c:\programme\ipod\bin\ipodservice.exe
o23 - service: Nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe

--
end of file - 4905 bytes
Die genauen Pfade sehen so aus:

E:\Spiele\Age an Halifax\mythxpak.exe
E:\System Volume Information\_restore{E53F11B2-4CAB-4DC5-97C7-B334077C89EE}\RP40\A0006431.exe
__________________

Geändert von ani (28.01.2010 um 15:17 Uhr)

Alt 28.01.2010, 18:47   #4
MalwareHero
 
AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Standard

AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder



Zitat:
Zitat von ani Beitrag anzeigen
Ich hoffe mal ich hab alles richtig gemacht mit dem Ersetzen der persönlichen Informationen und so.
Ja, du hast wieder alles richtig gemacht

Bei den Fundmeldungen von Avira handelt es sich wahrscheinlich um Malware. Gehe wie folgt vor, damit wir Gewissheit erlangen können.

> Stelle diese Datei: E:\Spiele\Age an Halifax\mythxpak.exe
aus der Quarantäne wieder her und lade sie dann hier VirusTotal - Kostenloser online Viren- und Malwarescanner
hoch. Lasse sie überprüfen und poste das ganze Log dieser Prüfung dann hier in den Thread.

> Danach verschiebe die Datei wieder in die Quarantäne.

Die andere Datei: E:\System Volume Information\_restore{E53F11B2-4CAB-4DC5-97C7-B334077C89EE}\RP40\A0006431.exe
kannst du bedenkenlos löschen. Es handelt sich hier um ein "Abbild" eines Programmes, eine Datei, die von Windows Systemwiederherstellungsdienst erstellt wird.

Das Hijackthislog ist ok. Du solltest aber unbedingt dein System updaten. Es ist eine Frage der Sicherheit.
> Führe ein Windows Update durch und update auf Servicepack 3 und Internet Explorer 8.

lg.

Alt 28.01.2010, 18:57   #5
ani
 
AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Standard

AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder



Wow klasse. :P
Danke schon mal für die Hilfe bis jetzt.

Übrigens: Ich kann die andere Datei nicht löschen, weil der Ordner "System Volume Information" nicht existiert?

Zitat:
Die Datei wurde bereits analysiert:
MD5: 831b8cad53201fb1fc2771493c3d81a8
First received: 2006.10.19 06:53:12 UTC
Datum 2010.01.28 16:01:32 UTC [<1D]
Ergebnisse 9/41
Permalink: analisis/5cdbcf960930e3a4eb1d2688a1f769fff0e42d656789669eada4bd23c497d592-1264694492


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.01.28 -
AhnLab-V3 5.0.0.2 2010.01.28 -
AntiVir 7.9.1.154 2010.01.28 TR/Horse.MG
Antiy-AVL 2.0.3.7 2010.01.28 -
Authentium 5.2.0.5 2010.01.28 -
Avast 4.8.1351.0 2010.01.28 -
AVG 9.0.0.730 2010.01.28 -
BitDefender 7.2 2010.01.28 -
CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.ATV
ClamAV 0.94.1 2010.01.28 -
Comodo 3740 2010.01.28 -
DrWeb 5.0.1.12222 2010.01.28 -
eSafe 7.0.17.0 2010.01.28 Win32.TrojanHorse
eTrust-Vet 35.2.7266 2010.01.28 -
F-Prot 4.5.1.85 2010.01.28 -
F-Secure 9.0.15370.0 2010.01.28 -
Fortinet 4.0.14.0 2010.01.28 -
GData 19 2010.01.28 -
Ikarus T3.1.1.80.0 2010.01.28 -
Jiangmin 13.0.900 2010.01.28 -
K7AntiVirus 7.10.957 2010.01.26 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.01.28 -
McAfee 5875 2010.01.28 -
McAfee+Artemis 5875 2010.01.28 -
McAfee-GW-Edition 6.8.5 2010.01.28 Trojan.Horse.MG
Microsoft 1.5406 2010.01.28 -
NOD32 4815 2010.01.28 -
Norman 6.04.03 2010.01.27 -
nProtect 2009.1.8.0 2010.01.28 Trojan/W32.Agent.20992.JB
Panda 10.0.2.2 2010.01.28 Suspicious file
PCTools 7.0.3.5 2010.01.28 Trojan.Generic
Prevx 3.0 2010.01.28 -
Rising 22.32.03.04 2010.01.28 -
Sophos 4.50.0 2010.01.28 -
Sunbelt 3.2.1858.2 2010.01.28 -
Symantec 20091.2.0.41 2010.01.28 Trojan Horse
TheHacker 6.5.0.9.167 2010.01.28 -
TrendMicro 9.120.0.1004 2010.01.28 -
VBA32 3.12.12.1 2010.01.28 -
ViRobot 2010.1.28.2160 2010.01.28 -
VirusBuster 5.0.21.0 2010.01.28 -
weitere Informationen
File size: 20992 bytes
MD5...: 831b8cad53201fb1fc2771493c3d81a8
SHA1..: 05541d4c6e4b0317439dcaca0682abe0712f8ca7
SHA256: 5cdbcf960930e3a4eb1d2688a1f769fff0e42d656789669eada4bd23c497d592
ssdeep: 384:cfawJ0xrdfw5HV95kpU9aIXqZAratwYhw5Sgm:Fo0xmHLmpK6ZRwF5b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xf960
timedatestamp.....: 0x398de276 (Sun Aug 06 22:11:02 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xa000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xb000 0x5000 0x4c00 7.85 ad99935160f1437282120df04cff8244
UPX2 0x10000 0x1000 0x200 1.86 bf7e06e756e0c6eb6e0a164a60b54fd2

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSACM32.dll: acmDriverAddA
> WINMM.dll: mmioRead

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
ThreatExpert info: <a href='h**p://www.threatexpert.com/report.aspx?md5=831b8cad53201fb1fc2771493c3d81a8' target='_blank'>h**p://www.threatexpert.com/report.aspx?md5=831b8cad53201fb1fc2771493c3d81a8</a>
packers (Kaspersky): UPX
packers (F-Prot): UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


Geändert von ani (28.01.2010 um 19:04 Uhr)

Alt 28.01.2010, 19:10   #6
MalwareHero
 
AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Standard

AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder



Zitat:
CAT-QuickHeal 10.00 2010.01.28 Trojan.Agent.ATV
Es ist Malware. Bitte lösche diese Datei E:\Spiele\Age an Halifax\mythxpak.exe, die sich ja jetzt wieder in der Avira Quarantäne befindet.

Ich nehme an, dass du ein Spiel runtergeladen hast, das leider Malware enthielt.
Du solltest dieses Programm/Spiel nun restlos deinstallieren/entfernen:
E:\Spiele\Age an Halifax

> Sei immer sehr vorsichtig bei dem Download von Software und lade dir nur Software von sicheren und vertrauenswürdigen Anbietern runter.

> Nach einer Malware Infektion ist es angebracht, das System mit mehreren Virenscannern zu überprüfen. Bitte überprüfe dein System mit Malwarebytes und poste das Log hier rein.

Zitat:
Übrigens: Ich kann die andere Datei nicht löschen, weil der Ordner "System Volume Information" nicht existiert?
Diese Datei befindet sich doch in der Quarantäne von Avira? Dort gibt es die Option "Löschen"
Anleitung: Avira AntiVir - Das sollten Sie tun, wenn ein Virus gefunden wird - COMPUTER BILD

lg.

Antwort

Themen zu AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder
anderes, antivir, beseitigen, dateien, einfach, falsch, festplatte, formatieren, gesucht, information, löschen, nicht mehr, nichts, ordner, pferd, probleme, quarantäne, rojaner gefunden, system, system volume information, trojaner, trojaner gefunden, trojanisches pferd, verschieben, virus, virus beseitigen, virustotal




Ähnliche Themen: AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder


  1. Avira findet Trojanisches Pferd TR/Kazy.169263.1
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (31)
  2. Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 13.06.2013 (13)
  3. Avira findet Virus: TR/Rogue.kdv.636603/Quarantäne oder Löschen?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  4. Bankentrojaner? Antivir findet u.a das Trojanische Pferd TR/Ransom.bxra
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (19)
  5. Trojanisches Pferd TR/Derusbi.A mit Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.09.2011 (6)
  6. Trojanisches Pferd TR/Patched.Gen //// Trojanisches Pferd TR/Refroso.ayol
    Überwachung, Datenschutz und Spam - 26.12.2010 (6)
  7. Avira Antivir meldet trojanisches Pferd TR Vilsel.aejm
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (22)
  8. Trojanisches Pferd TR/Agent.35328 - AntiVir kann Update nicht laden
    Log-Analyse und Auswertung - 27.01.2010 (1)
  9. Antivir findet TR/Pakes.mgk - kann Datei nicht löschen
    Mülltonne - 04.01.2009 (0)
  10. Trojanisches Pferd, Antivir hilft nicht + Windows Warning-Message
    Plagegeister aller Art und deren Bekämpfung - 26.08.2008 (1)
  11. Kein Virenprogramm kann trojanisches Pferd löschen! Wie soll ich es löschen?
    Mülltonne - 19.03.2008 (1)
  12. Antivir findet Trojaner - will aber nicht löschen!?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.03.2007 (2)
  13. Antivir 7 findet msclock32.dll, kann es aber nicht dauerhaft löschen
    Log-Analyse und Auswertung - 21.03.2006 (1)
  14. Antivir findet Swizzor oder so ähnlich...
    Plagegeister aller Art und deren Bekämpfung - 05.12.2005 (2)
  15. Trojanisches Pferd TR
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (1)
  16. Problem- Antivir findet viren, die sich nicht löschen lassen!
    Log-Analyse und Auswertung - 16.06.2005 (1)
  17. Trojanisches Pferd AVG ???
    Plagegeister aller Art und deren Bekämpfung - 12.02.2003 (1)

Zum Thema AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder - Hallo ihr Lieben, ich habe heute schon viel gegoogelt, aber immer noch nicht arg viel schlauer geworden. Ich habe zwar viele ähnliche Probleme gefunden, aber nun bin ich noch verwirrter - AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder...
Archiv
Du betrachtest: AntiVir findet Trojanisches Pferd TR/Horse.MG - Löschen oder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.