Trojaner-Board - Trojaner..... Hilfe!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner..... Hilfe! (https://www.trojaner-board.de/12856-trojaner-hilfe.html)

Trojaner..... Hilfe!

Hallo zusammen,
Ich habe eben Ad-aware gestartet und habe es nach spion viren durchstucht. Als er dann noch immer im Laufwerk C war, kommt aufeinmal eine Meldung von Anti-Vir, wo drin stand Trojaner..... Den rest von der Datei weiß ich leider nicht mehr :( weil ich des ja net speichern konnte. Ich habe die sofort gelöscht die Datei.
Ja ich weiß auch nicht wie die Datei auf meinen PC gekommen ist o_O.
Weil ich habe nie sowas von einer fremden hp gedownloadet o.ä. nur von emails von den ich wusste das ich die downloaden kann weil es halt paar datein waren die mir freunde rübergeschickt haben. Ja und sonst habe ich halt nur Anti vir geupdatet und halt alles andere wichtige ad-aware und windows.....
Also Ich habe echt ka. Nur eine vermutung kann ich sagen und die ist folgende :
Meine bruder downloadet jedes mal Sachen ausn Internet die er auch in der Nacht noch downloadet. Aber irgendwie ist das sinnlos weil er hat anscheinend keine viren und ich schon. Das kann aufgar kein fall duch nen router o.ä. zu mir kommen oder?

Hier ist die Hijack This LOG :

Logfile of HijackThis v1.99.0
Scan saved at 13:11:08, on 27.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Games\ToA\game.dll
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\firefox\firefox.exe
D:\Programme\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105869019828
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hier ist das Ergegbnis vom Anti-Vir:

Warnungen : 7
Hinweise : 3
Sonst hat er nichts endeckt

So ich muss jetzt leider erstmal für 1 stunde schnell weg. Ich lasse dabei EsCan laufen oder mach es hinterher!.

grüsse Extreme

So hier ist jetzt die EsCan log bzw. die Funde:

Thu Jan 27 16:02:51 2005 => ***** Scanning complete. *****

Thu Jan 27 16:02:51 2005 => Total Files Scanned: 56157
Thu Jan 27 16:02:51 2005 => Total Virus(es) Found: 2
Thu Jan 27 16:02:52 2005 => Total Disinfected Files: 0
Thu Jan 27 16:02:52 2005 => Total Files Renamed: 0
Thu Jan 27 16:02:52 2005 => Total Deleted Files: 0
Thu Jan 27 16:02:52 2005 => Total Errors: 2
Thu Jan 27 16:02:52 2005 => Time Elapsed: 00:48:55
Thu Jan 27 16:02:52 2005 => Virus Database Date: 2005/01/08
Thu Jan 27 16:02:52 2005 => Virus Database Count: 115012

infected datein :

Thu Jan 27 15:19:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

......

Ich weiß aber nicht ob sich das ganze trojanische pferd jetzt gelöscht wurde als die meldung kam wo ich ad-aware gespeichert habe, weil anscheinent finden die 2 viren suchen programme keine viren......

Hm, das HijackThis Log sieht sauber aus.

Zitat:

Zitat von Kim999

Hm, das HijackThis Log sieht sauber aus.

Das bedeutet noch lange nicht,dass der Rechner sauber ist!

@ extreme welche Malware wurde genau gefunden,...Name?!

Zitat:

Zitat von HerrKautz

Das bedeutet noch lange nicht,dass der Rechner sauber ist!

@ extreme welche Malware wurde genau gefunden,...Name?!

Das hatte ich auch nicht gesagt... ich sagte es SIEHT sauber aus. Oder kannst du auf den ersten Blick etwas erkennen?

Vielleicht mal ein Escan-Scan?

@extreme16
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
________________________________________
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:

chaosman

hm komisch. Irgendwie habe ich das schon unten geschrieben die EsCan log file aber wenn ihr es nochmal wollt hier :

So hier ist jetzt die EsCan log bzw. die Funde:

Thu Jan 27 16:02:51 2005 => ***** Scanning complete. *****

Thu Jan 27 16:02:51 2005 => Total Files Scanned: 56157
Thu Jan 27 16:02:51 2005 => Total Virus(es) Found: 2
Thu Jan 27 16:02:52 2005 => Total Disinfected Files: 0
Thu Jan 27 16:02:52 2005 => Total Files Renamed: 0
Thu Jan 27 16:02:52 2005 => Total Deleted Files: 0
Thu Jan 27 16:02:52 2005 => Total Errors: 2
Thu Jan 27 16:02:52 2005 => Time Elapsed: 00:48:55
Thu Jan 27 16:02:52 2005 => Virus Database Date: 2005/01/08
Thu Jan 27 16:02:52 2005 => Virus Database Count: 115012

infected datein :

Thu Jan 27 15:19:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Zitat:

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Du musst es wie im Zitat beschrieben steht machen, die Anzahl der Viren ist nur der erste Teil der zweite sind deren Namen und in welchen Dateien sie sind

http://www.cosgan.net/images/smilie/sportlich/a050.gif
Gruß Gigamail

@ extreme16

Suche erneut in der mwav.log nach tagged und poste diese.

Hier sind die Taggeds :

Thu Jan 27 15:34:23 2005 => File D:\desktop1\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Jan 27 16:01:46 2005 => File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken.

Das wars.
Aber wie gesagt ich benutze auch noch Mozzila/Firefox und ka wie der drauf gekommen ist... o_O

Vermutlich wurde diese Trojaner im Ordner TIF beanstandet.
Liegt momentan noch ein Problem vor oder mokiert AntiVir noch andere Dateien?

btw:
Du könntest auch mal im Report von AntiVir nachsehen, da müsste der Fund enthalten sein.

Also ka ich habe ja auch anti vir laufen lassen zur gleichen zeit wo das trojanische pferd entdeckt wurde. Atm macht der anti vir gar nicht. Ach ja und wo soll der TIF ordner sein bzw. wo soll das repot vom anti vir sein, irgendwie finde ich gar net auf meinen rechner den ordner von anti^^...

grüsse

Zitat:

Ach ja und wo soll der TIF

C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

Zitat:

wo soll das repot vom anti vir sein

AntiVir Hauptprogramm starten -> Report -> Kurzreport anzeigen -> nach "Virus und bzw. unerwünschte Programme gefunden" suchen
oder die Datei AVWIN.LOG durchsuchen

Also ich habe eben im TIF ordner durchsucht manuell und habe nichts gefunden....

hier ist die LOG von anti vir :

Start des Suchlaufs: Sonntag, 30. Januar 2005 15:12

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK

C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

D:\Programme\Winrar
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
D:\Programme\Winrar\Winrar
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
D:\Programme\Winrar1
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Sonntag, 30. Januar 2005 15:39
Benötigte Zeit: 27:19 min

2228 Verzeichnisse wurden durchsucht
37716 Dateien wurden geprüft
7 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

also? was isn jetzt nun?