Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   NAV 2005 melde "Trojan Horse" bei system32.exe (https://www.trojaner-board.de/11188-nav-2005-melde-trojan-horse-system32-exe.html)

Lutz 25.12.2004 23:56
Zitat:
Zitat von Shadowdance
Bedingt ein Aufruf nicht das Vorhandensein der Einträge auf einem Rechner? Woher nimmt das Programm Hijack This die Information über ein System, wenn nicht vom System selbst?
Das meinst Du jetzt nicht wirklich ernst?!?
Das würde ja bedeuten, das Du das ganze 'System' (noch immer) nicht verstanden hättest. :(
Der Aufruf in den Run-Einträgen bedeutet lediglich, dass die Malware auf dem Rechner gewesen ist. Ob diese noch aktuell vorhanden ist, lässt sich daraus nicht ablesen, da es sich eben lediglich um den Versuch handelt, den Prozess zu starten. Dieser Run-Eintrag bleibt aber in der Registry auch dann bestehen, wenn man die Datei als solche löscht.
Deswegen beten wir doch immer die Litanei des Bereinigens der Registry mittels HijackThis und der Entfernung der eigentlichen Malware...

Zitat:
Zitat von Shadowdance
Es ist übrigens überflüssig, zwei Online-Scans machen zu lassen, wie ich vor kurzem selbst erfahren habe, da ich ebenfalls "Jotti" und "Kaspersky" als online-Überprüfung angeboten hatte. "Jotti" enthält u.a. den Scan bei Kaspersky.
Ja, da hast Du vollkommen Recht.
Ich schrieb:
Zitat:
Überprüfe die Datei C:\WINDOWS\System32\system32.exe unter
http://www.kaspersky.com/de/scanforvirus.html und alternativ auch unter
http://virusscan.jotti.org/de
Ich meinte allerdings nicht und alternativ..., sondern oder alternativ... :crazy:

Lutz 25.12.2004 23:59
sorry - Doppelpost!

Shadowdance 26.12.2004 00:20
Zitat:
Zitat von Lutz
Der Aufruf in den Run-Einträgen bedeutet lediglich, dass die Malware auf dem Rechner gewesen ist. Ob diese noch aktuell vorhanden ist, lässt sich daraus nicht ablesen, da es sich eben lediglich um den Versuch handelt, den Prozess zu starten. Dieser Run-Eintrag bleibt aber in der Registry auch dann bestehen, wenn man die Datei als solche löscht.
Deswegen beten wir doch immer die Litanei des Bereinigens der Registry mittels HijackThis und der Entfernung der eigentlichen Malware...
Danke für die fachmännische Erläuterung.

Aufgrund einiger Probleme mit der Board-Software konnte ich Deinen Beitrag nicht noch einmal lesen, um zu erkennen, ob Du beide Online-Scans nebeneinander oder alternativ angeboten hattest. Somit war mein Hinweis überflüssig.

daruler 26.12.2004 16:31
Die HijackThis Log war noch fälschlicherweise von dem Vortag.
Ich habe momentan keine system32.exe mehr drauf, was ein aktuelles HJT-Log bestätig. Nach einem erneuten Durchlauf von eScan wurde jedoch in der Log folgendes gefunden:

Code:
File C:\WINDOWS\System32\adimage.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\IPCClient.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\msipcsv.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\TFDE.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\htmdeng.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File C:\Programme\Norton AntiVirus\Quarantine\03FE0D1F.tmp infected by "I-Worm.Sober.i" Virus. Action Taken: File Deleted.
File C:\Programme\Norton AntiVirus\Quarantine\5EE063F8.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004204.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004206.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004219.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004225.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004227.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004228.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004229.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004230.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004231.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004237.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004238.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004239.exe infected by "not-a-virus:AdWare.MediaMotor.a" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004242.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004243.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004244.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004248.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004249.dll infected by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004252.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004253.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004254.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004255.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP66\A0004256.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.q" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP81\A0006536.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.v" Virus. Action Taken: File Renamed.
File C:\WINDOWS\inf\sbc.exe infected by "not-a-virus:AdWare.WinAD.g" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: File Renamed.
File F:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP81\A0006274.dll infected by "not-a-virus:AdWare.EliteBar" Virus. Action Taken: File Renamed.
File F:\System Volume Information\_restore{16D5C8EC-69A5-4FE4-BDA9-76CD23091974}\RP81\A0006275.exe infected by "not-a-virus:AdWare.Gator.3102" Virus. Action Taken: File Renamed.
File F:\Tools\Fakez\Hell sms bomber 2.1\hell_sms_bomber_33.exe infected by "Flooder.SMS.HellBomber.33" Virus. Action Taken: File Renamed.
File F:\Tools\Fakez\Hell sms bomber 2.1\hell_sms_bomber_34.exe infected by "Flooder.SMS.HellBomber.34" Virus. Action Taken: File Renamed.
File F:\Tools\Fakez\MUltiwebspacefaker\faker_165\Multi WebSpace Faker (1.6.5).exe infected by "SpamTool.Win32.VB.a" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\audiogalaxy.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\BearShare.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\eDonkey57.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: File Renamed.
File F:\Tools\Filesharing-Tools\eDonkey59.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: File Renamed.
File F:\Tools\FTP-Tools\Cuteftp4.0\cutegr4032.exe infected by "not-a-virus:AdWare.TimeSink" Virus. Action Taken: File Renamed.
File F:\Tools\Other\addabutton.exe infected by "not-a-virus:AdWare.SaveNow.ar" Virus. Action Taken: File Renamed.
File F:\Tools\Other\FlashGet\setup.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File F:\Tools\Other\netants\setup.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: File Renamed.
File F:\Tools\Other\netvampire\nv40inst.exe infected by "not-a-virus:AdWare.TimeSinc" Virus. Action Taken: File Renamed.
File F:\Tools\Other\Universalis-Cracks\spt-universalis.7.Crack.french.new.release_on.Edonkey.by.TpWz\spt-universalis.7.Crack.french_on.Edonkey.by.TpWz\crack pour Encyclopedia universalis 7 FRANCAIS.exe infected by "Trojan.Win32.Agent.a" Virus. Action Taken: File Deleted.
Soll ich jetzt noch etwas machen?
Was bringt denn die Umbennenung eines Files?
Wird diese dadurch unbrauchbar/deaktiviert?

Klappstuhl 01.11.2007 16:57
Hi!

Ich hatte mir auch gerade dieses Pferdchen eingefangen, konnte es aber dank eurer Hilfe gleich wieder löschen - THX!

Ich wurde leider nur darauf aufmerksam, weil meine FW die system32.exe blocken wollte und weil msconfig nicht mehr ging!

Was mir etwas schleierhaft ist, warum findet mein Virescaner, einen seid 2004 exestierenden Trojaner nicht und warum auch nicht die Onlinedurchsuchung?

Ich benutze Avira AntiVir und zur Onlinedurchsuchung nutzte ich diese Adresse [http://www.virustotal.com/de/]

Früher nutze ich Norton, auf Grund des Resourcen-Verbrauchs und der Kosten schwenkte ich auf Avira. Ist man damit nur so zufrieden, weil man die meisten Angriff gar nicht erst bemerkt?!


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:23 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131