|
Trojaner..... Hilfe! Hallo zusammen, Ich habe eben Ad-aware gestartet und habe es nach spion viren durchstucht. Als er dann noch immer im Laufwerk C war, kommt aufeinmal eine Meldung von Anti-Vir, wo drin stand Trojaner..... Den rest von der Datei weiß ich leider nicht mehr :( weil ich des ja net speichern konnte. Ich habe die sofort gelöscht die Datei. Ja ich weiß auch nicht wie die Datei auf meinen PC gekommen ist o_O. Weil ich habe nie sowas von einer fremden hp gedownloadet o.ä. nur von emails von den ich wusste das ich die downloaden kann weil es halt paar datein waren die mir freunde rübergeschickt haben. Ja und sonst habe ich halt nur Anti vir geupdatet und halt alles andere wichtige ad-aware und windows..... Also Ich habe echt ka. Nur eine vermutung kann ich sagen und die ist folgende : Meine bruder downloadet jedes mal Sachen ausn Internet die er auch in der Nacht noch downloadet. Aber irgendwie ist das sinnlos weil er hat anscheinend keine viren und ich schon. Das kann aufgar kein fall duch nen router o.ä. zu mir kommen oder? Hier ist die Hijack This LOG : Logfile of HijackThis v1.99.0 Scan saved at 13:11:08, on 27.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Games\ToA\game.dll C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWIN.EXE D:\Programme\firefox\firefox.exe D:\Programme\HijackThis.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Downloads\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Downloads\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105869019828 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE Hier ist das Ergegbnis vom Anti-Vir: Warnungen : 7 Hinweise : 3 Sonst hat er nichts endeckt So ich muss jetzt leider erstmal für 1 stunde schnell weg. Ich lasse dabei EsCan laufen oder mach es hinterher!. grüsse Extreme |
So hier ist jetzt die EsCan log bzw. die Funde: Thu Jan 27 16:02:51 2005 => ***** Scanning complete. ***** Thu Jan 27 16:02:51 2005 => Total Files Scanned: 56157 Thu Jan 27 16:02:51 2005 => Total Virus(es) Found: 2 Thu Jan 27 16:02:52 2005 => Total Disinfected Files: 0 Thu Jan 27 16:02:52 2005 => Total Files Renamed: 0 Thu Jan 27 16:02:52 2005 => Total Deleted Files: 0 Thu Jan 27 16:02:52 2005 => Total Errors: 2 Thu Jan 27 16:02:52 2005 => Time Elapsed: 00:48:55 Thu Jan 27 16:02:52 2005 => Virus Database Date: 2005/01/08 Thu Jan 27 16:02:52 2005 => Virus Database Count: 115012 infected datein : Thu Jan 27 15:19:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* ...... Ich weiß aber nicht ob sich das ganze trojanische pferd jetzt gelöscht wurde als die meldung kam wo ich ad-aware gespeichert habe, weil anscheinent finden die 2 viren suchen programme keine viren...... |
Hm, das HijackThis Log sieht sauber aus. |
Zitat:
@ extreme welche Malware wurde genau gefunden,...Name?! |
Zitat:
Vielleicht mal ein Escan-Scan? |
@extreme16 Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) ________________________________________ Öffne C:\bases\mwav.log Am Ende folgendes suchen und hier rein kopieren: Zitat: Total Files Scanned: Total Virus(es) Found: Total Disinfected Files: Total Files Renamed: Total Deleted Files: Total Errors: Time Elapsed: Virus Database Date: Virus Database Count: chaosman |
hm komisch. Irgendwie habe ich das schon unten geschrieben die EsCan log file aber wenn ihr es nochmal wollt hier : So hier ist jetzt die EsCan log bzw. die Funde: Thu Jan 27 16:02:51 2005 => ***** Scanning complete. ***** Thu Jan 27 16:02:51 2005 => Total Files Scanned: 56157 Thu Jan 27 16:02:51 2005 => Total Virus(es) Found: 2 Thu Jan 27 16:02:52 2005 => Total Disinfected Files: 0 Thu Jan 27 16:02:52 2005 => Total Files Renamed: 0 Thu Jan 27 16:02:52 2005 => Total Deleted Files: 0 Thu Jan 27 16:02:52 2005 => Total Errors: 2 Thu Jan 27 16:02:52 2005 => Time Elapsed: 00:48:55 Thu Jan 27 16:02:52 2005 => Virus Database Date: 2005/01/08 Thu Jan 27 16:02:52 2005 => Virus Database Count: 115012 infected datein : Thu Jan 27 15:19:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* |
Zitat:
http://www.cosgan.net/images/smilie/sportlich/a050.gif Gruß Gigamail |
@ extreme16 Suche erneut in der mwav.log nach tagged und poste diese. |
Hier sind die Taggeds : Thu Jan 27 15:34:23 2005 => File D:\desktop1\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Jan 27 16:01:46 2005 => File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.IRC.6.16. No Action Taken. Das wars. Aber wie gesagt ich benutze auch noch Mozzila/Firefox und ka wie der drauf gekommen ist... o_O |
Vermutlich wurde diese Trojaner im Ordner TIF beanstandet. Liegt momentan noch ein Problem vor oder mokiert AntiVir noch andere Dateien? btw: Du könntest auch mal im Report von AntiVir nachsehen, da müsste der Fund enthalten sein. |
Also ka ich habe ja auch anti vir laufen lassen zur gleichen zeit wo das trojanische pferd entdeckt wurde. Atm macht der anti vir gar nicht. Ach ja und wo soll der TIF ordner sein bzw. wo soll das repot vom anti vir sein, irgendwie finde ich gar net auf meinen rechner den ordner von anti^^... grüsse |
Zitat:
Zitat:
oder die Datei AVWIN.LOG durchsuchen |
Also ich habe eben im TIF ordner durchsucht manuell und habe nichts gefunden.... hier ist die LOG von anti vir : Start des Suchlaufs: Sonntag, 30. Januar 2005 15:12 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK C:\ hiberfil.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! D:\Programme\Winrar rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) D:\Programme\Winrar\Winrar rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) D:\Programme\Winrar1 rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Sonntag, 30. Januar 2005 15:39 Benötigte Zeit: 27:19 min 2228 Verzeichnisse wurden durchsucht 37716 Dateien wurden geprüft 7 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden |
also? was isn jetzt nun? |
Hi, also in Deiner Log Datei von Antivir ist nicht's auffällig. Ich würde jetzt nochmal eScan im abgesicherten Modus laufen lassen und sehen ob noch was festgestellt wird. Beachte die Hinweise unten. Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. (Shadowdance zitiert) --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) Wenn was festgestellt wird mach es wie hier beschrieben mit der Logdatei oder Du markierst das Ergebnis vom unteren Fenster in eScan (Virus Informationslog) und postest es noch mal hier rein. Wenn nicht's mehr festgestellt wird, solltest Du wieder sauber sein. http://www.cosgan.net/images/smilie/sportlich/p040.gif Gruß Gigamail |
Hallo ! Ich hatte vor kurzem das gleiche problem wie extreme16 , das mein antivir trojanische pferde entdeckt hat . hier ist erst mal das ergebniss von antivir : ------------------------------------------------------------------------ C:\_RESTORE\ARCHIVE FS4756.CAB ArchiveType: CAB (Microsoft) --> A0539259.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.1 --> A0539261.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.3 --> A0539263.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Keenval.2 FS3696.CAB ArchiveType: CAB (Microsoft) --> A0403539.CPY [FUND!] Ist das Trojanische Pferd TR/SPY.SPot C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\SYSTEM\P2P Networking\Cache\Database index256.dbb Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Desktop\Eigene Bilder\Thumbs.db Zu wenig Speicher! Virus bzw. unerwünschtes Programm wurde nicht entfernt! C:\WINDOWS\Temporary Internet Files\Content.IE5\OD2FKXYJ wiki[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) -------------------------------------------------------------------------- daraufhin habe ich auch noch einmal , wie hier vorher beschrieben , das escan im abgesicherten modus laufen lassen mit folgendem ergebniss ( ich habe die "infected" dateien schon rauskopiert ) : -------------------------------------------------------------------------- File C:\WINDOWS\SYSTEM\tjl1.exe infected by "Trojan-Downloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\S98YYDD5\downloads_manager[1].html infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. File C:\_RESTORE\ARCHIVE\FS4756.CAB infected by "Trojan-Downloader.Win32.Keenval" Virus. Action Taken: No Action Taken. File C:\_RESTORE\ARCHIVE\FS3696.CAB infected by "Trojan.Win32.Spooner.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\tjl1.exe infected by "Trojan-Downloader.Win32.Small.xl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Temporary Internet Files\Content.IE5\S98YYDD5\downloads_manager[1].html infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\browserxtras\pn\remove.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. -------------------------------------------------------------------------- desweiteren wurden noch viel mehr dateien als "infected" gemeldet , die haben jedoch alle etwas mit "AdWare" zu tun , deshalb habe ich sie hier nicht aufgeführt ( z.b. : File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.) . dann gab es noch diese art , welche zwar aufgeführt wurden aber nicht als "infected" eingestuft wurden - File C:\_RESTORE\ARCHIVE\FS3829.CAB tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. jetzt stellt sich mir die frage wie ich diese dateien löschen kann , denn ich habe bereits versucht die .cab's zu löschen , das ging jedoch selbst im abgesicherten modus nicht , da die dateien benutzt werden . ich habe auch versucht sie umzubennen , da der pc sie dann ja nicht mehr finden würde , was jedoch auch nicht ging. also frage 1 : wie lösche ich die dateien , die als "infected" eingestuft wurden ? und frage 2 : was ist mit den anderen dateien , kann man diese vernachlässigen ? grüsse |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board