Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem TROJANDOWNLOADER :( (https://www.trojaner-board.de/10923-problem-trojandownloader.html)

Twista84 18.12.2004 17:52
Problem TROJANDOWNLOADER :(
 
Hallo,

habe einige probleme... und zwar, habe ich WINDOWS SERVICE PACK 1 ... Antivirus hab ich ANTI VIR !! Firwewall KERIO.
Ich bekomm jetzt immer die Meldung von Trojanern und zwar eine ganze menge viele verschiedene!! Was kann ich dagegen tun? Anti vir löscht sie mir nicht?
Wie funktioniert das HIJACKTHIS und was nutzt das ?

Wer kann helfen? :( bin schon verzweifelt !!

chaosman 18.12.2004 18:00
@Twista84
poste doch mal eine Hijackthis logfile
download
anleitung
poste bitte auch die gefundene viren mit pfadangabe
chaosman

Twista84 18.12.2004 19:34
Logfile of HijackThis v1.98.2
Scan saved at 18:28:00, on 18.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
D:\Downloads\Progz\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103378824904
O17 - HKLM\System\CCS\Services\Tcpip\..\{A23040DA-3EB3-46C9-B8F0-1831E9309FD3}: NameServer = 217.237.151.161 217.237.151.33

das ist das ? :( und ich hab immer solche
Trojandownload.Java. irgendwas immer so :(

chaosman 18.12.2004 19:54
@Twista84
du könntest bei gelegenheit dein system und IE mal wieder updaten.
du benützt flashget, der holt dir adware oder spyware auf den rechner, benütze lieber den LeechGet.
"das ist das ? und ich hab immer solche
Trojandownload.Java. irgendwas immer so "
dewegen lade dir escan download
anleitung
führe es genauso durch wie beschrieben wird.
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman

Twista84 19.12.2004 14:34
habe mal mit eScan das im abgesichertem Modus gemacht und das kam heraus:

Sun Dec 19 12:58:37 2004 => File C:\DOKUME~1\PC\LOKALE~1\TEMPOR~1\Content.IE5\PCWNP9WT\protect[1].php infected by "Trojan-Downloader.JS.IstBar.d" Virus. Action Taken: No Action Taken.

Sun Dec 19 13:48:21 2004 => File C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PCWNP9WT\protect[1].php infected by "Trojan-Downloader.JS.IstBar.d" Virus. Action Taken: No Action Taken.

Sun Dec 19 14:05:07 2004 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav

wie mach ich die jetzt weg?
noch eine Frage... soltle ich vielleicht SERVICE PACK 2 auf mein WINDOWS draufmachen?

dann hab ich ja KAPERSKYS ANTI VIR !! und dann hab ich gelesen:

Für Besitzer eines Virenscanners aus der Produkt-Palette von Kaspersky (KAV) erübrigt sich ein Scan mit eScan, insofern mit den sogenannten erweiterten Signaturen gearbeitet wird. Unter erweiterten Signaturen werden Signaturen für beispielsweise Dialer, Ad- und Spyware, sowie Pornware verstanden. Bei KAV bis zur Version 4.5 müssen für den Download der erweiterten Signaturen im AV-Updater unter 'Einstellungen ändern' -> 'Aktualisierung über das Internet' die eingetragenen Update-Adressen am Ende von .../updates auf ...updates_x/ geändert werden. Bei KAV 5.0 erfolgt die Änderung über 'Einstellungen' -> 'Update' -> 'Update-Typ', indem hier die Option 'erweiterte Datenbanken' ausgewählt wird.


und ich habe VERSION 5.0 soll ich dann das machen wie dort beschrieben?`

Danke !!

Yopie 19.12.2004 14:42
Zitat:
Zitat von Twista84
wie mach ich die jetzt weg?
Lösche den IE-Cache.

Zitat:
Zitat von Twista84
noch eine Frage... soltle ich vielleicht SERVICE PACK 2 auf mein WINDOWS draufmachen?
Natürlich.

Zitat:
Zitat von Twista84
und ich habe VERSION 5.0 soll ich dann das machen wie dort beschrieben?
Denke schon, sonst würds da ja nicht stehen. ;)

P.S.: Aus Sicherheitsgründen solltest Du auf einen alternativen Browser umsteigen, der nicht die IE-Engine nutzt. Mozilla, Firefox, Opera,...

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131