|
Trojaner/Backdoor? Hallo, Bin hier neu,und komme auch gleich mit nem Problem zu euch:rolleyes: Folgendes ich betreibe Online Banking...als ich mich gestern einloggen wollte,kam ne Meldung das ich meine Daten falsch eingegeben habe,was aber logischerweise falsch ist.Also habe ich es später nochmal probiert,selbiges Problem wieder...nun hab ich mir natürlich sorgen gemacht.Hab Antivir durchlaufen lassen,Ad-ware etc..alles auf Aktuellen stand.Bin normal nicht der dümmste in Sachen Pc was aber auch nicht heißt das ich alles kann/weiß. Anbei meine Hijack log..hoffe ihr könnt mir helfen.. Logfile of HijackThis v1.99.1 Scan saved at 12:01:15, on 19.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\IEXPLORE.EXE H:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: VIPTToolbarManager Class - {1A2641AE-2C42-4C51-A05F-8ECEC3FDC94D} - e:\Programme\Visual IP Trace 2007\VisualIPTraceIE.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Visual IP Trace - {E70C26AE-DFF1-40A8-8D37-19180F56F0AA} - e:\Programme\Visual IP Trace 2007\VisualIPTraceIE.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Wildlife Park 2 AddOn3 Marine Park Drivers Auto Removal (pr2alucb) (pr2alucb) - Koch Media - C:\WINDOWS\system32\pr2alucb.exe mfg meppel |
Also ich sehe im Log auf den ersten Blick nichts. Ruf aber zur Sicherheit bei deiner Bank an und lass Online Banking vorübergehend sperren. Lass dir dann in einer Filiale einen neuen PIN/Passwort ausstellen. Und natürlich solltest du deine Kontoauszüge sofort überprüfen. Vorher überprüfe aber bitte ob du nicht versehentlich Caps-Lock aktiviert hattest und lösch die Cookies und den Cache deines Browsers. |
Hallo Raven,also den Cache und cookies löch ich immer Manual,und mit Hilfe von Steganos.. Das Konto ist schon gespeert,die Bank kümmert sich drum,der Sache evtl auf den Grund zu gehen,so die Aussage am Telefon vor ner guten Stunde. Mir ist der log ein Eintrag aufgefallen,Ntos.exe...schätze mal das wird nicht normal sein... mfg meppel Edit: Den Eintrag meinte ich: F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe |
Hoppla, hatte heute noch nicht meinen zweiten Kaffee, den Eintrag hab ich doch glatt übersehen. ntos.exe ist ein Trojaner. Warum Antivir den nicht gefunden bzw. abgewehrt hat ist interessant. Anleitung zum Entfernen folgt in Kürze. |
Troj/Dloadr-AWJ Troj/Dloadr-AWJ Trojaner Übersicht Übersicht Erläuterung Wiederherstellung Erweitert Verbreitung: niedrig hoch Name Troj/Dloadr-AWJ Typ Trojaner Anfällige Betriebssysteme Windows Nebeneffekte Installiert sich in der Registrierung Schutz Download der Virenkennungsdatei (IDE) Schutz verfügbar seit 28 März 2007 13:32:50 (GMT) Erkannt von Alle Versionen von Sophos Anti-Virus In unserem Produkt enthalten ab Mai 2007 (4.17) Weitere Informationen über IDE-Dateien Was sind IDE-Dateien? Verwendung von IDE-Dateien Neueste IDE-Dateien Erläuterung Übersicht Erläuterung Wiederherstellung Erweitert Dieser Bereich erläutert sein Verhalten Troj/Dloadr-AWJ ist ein Trojaner für die Windows-Plattform. Troj/Dloadr-AWJ kann ein Attachment von Spam-Mails sein und weitere ausführbare Codes herunterladen. Wiederherstellung Übersicht Erläuterung Wiederherstellung Erweitert Dieser Bereich erläutert, wie Sie diesen Virus desinfizieren. Bitte folgen Sie den Hinweisen zum Entfernen von Trojanern. Erweitert Übersicht Erläuterung Wiederherstellung Erweitert Dieser Bereich ist für technische Experten vorgesehen, die detaillierte Informationen über diesen Virus wünschen. Troj/Dloadr-AWJ ist ein Trojaner für die Windows-Plattform. Troj/Dloadr-AWJ kann ein Attachment von Spam-Mails sein und weitere ausführbare Codes herunterladen. Sobald Troj/Dloadr-AWJ installiert wird, können folgende Dateien erstellt werden: <System>\ntos.exe <System>\wsnpoem\audio.dll <System>\wsnpoem\video.dll Die Datei ntos.exe wird auch erkannt als Troj/Dloadr-AWJ. Der folgende Registrierungseintrag wird erstellt, um ntos.exe beim Start auszuführen: HKCU\Software\Microsoft\Windows\CurrentVersion\Run userinit <System>\ntos.exe Der folgende Registrierungseintrag wird geändert, um ntos.exe beim Start auszuführen: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit <System>\userinit.exe,<System>\ntos.exe, |
Hallo nochmal,wollte mein Post editieren,aber nachdem ich mit der Bank eben telefoniert habe,wollte ich es extra schreiben,undzwar die Kollegin von der Bank hat gesagt es liegt am Trojaner,wodurch mein Konto gesperrt wurde.Also Meine Bank hat quasi sonn Sicherheitsprogramm oder ähnliches auf der Hp wodurch mir (beim Virusbefall) der Zugang zum Konto nicht gewährt wird..sie hat auch gesagt wie er heißt wsnpoem das hat die am Telefon eben gesagt,jetzt stellt sich mir die Frage,alles neu drauf spielen,oder evtl doch den längeren Weg gehen? Es muß natürlich dann 100% Clean sein,wenn nicht bleibt mir nur doch das Neuaufsetzen.Danke euch mfg meppel Edit: dieser wsnpoem wird von Antivir nicht erkannt..? |
Moin Zitat:
Zitat:
setz die Kiste neu auf nach dieser Anleitung --> Neuaufsetzen des Systems und anschliessende Absicherung! Ändere nach der Neuinstallation unbedingt alle deine Pass- und Kennwörter. MFG |
Mahlzeit zusammen...also ich habe mein System neu aufgesetzt.. Programme Installed System: Sp2 (Updatet) Spy: Spybot,Adware Virus: Antivir Explorer: Mozilla Firefox 2.0 Email: Thunderbird Internet: Steganos Internet Security (Verlauf Cookies löschen etc) System:Tuneup 2007,Windows Dienste abschalten (Thx für die Anleitung @nochdigger) Habe bereits nen Spy wie auch Virusscan gemacht...bisher alles Clean.Anbei meine Hijack von eben..hoffe natürlich das sie Sauber ist ;) Logfile of HijackThis v1.99.1 Scan saved at 15:08:36, on 20.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe E:\Programme\Mozilla Firefox\firefox.exe H:\Programme\HijackThis.exe O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ITD7] "E:\Programme\Steganos Internet Trace Destructor 7\ITD7.exe" -boot O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Thx für die schnellen Antworten ! :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board