Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Urbin.C.1 bis C.3 (https://www.trojaner-board.de/19496-tr-urbin-c-1-c-3-a.html)

Sopetran 03.07.2005 12:16
TR/Urbin.C.1 bis C.3
 
Kennt jemand TR/Urbin.C.1, C.2 oder C.3

Als ich gestern früh den Rechner anmachte, erhielt ich gleich beim hochfahren diese Meldung von Antivir und dann im LAufe noch ein paar weitere, bevor ich im Netz war.


02.07.2005,08:57:18 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.3!
C:\WINDOWS\SYSTEM32\PROTECTED EXCHANGE\HOOKLIB.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
02.07.2005,09:11:51 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.1!
C:\MEMWIN.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
02.07.2005,09:15:38 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.2!
C:\WINDOWS\SYSTEM32\PROTECTED EXCHANGE\LOADSVC.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
02.07.2005,13:23:28 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{FF147265-BF71-4147-9152-1EA01A13C696}\RP96\A0013719.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
02.07.2005,18:31:23 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{FF147265-BF71-4147-9152-1EA01A13C696}\RP96\A0013862.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
02.07.2005,21:25:19 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{FF147265-BF71-4147-9152-1EA01A13C696}\RP96\A0013868.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
02.07.2005,23:45:49 [WARNUNG] Ist das Trojanische Pferd TR/Urbin.C.2!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{FF147265-BF71-4147-9152-1EA01A13C696}\RP96\A0013869.EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!



Ich konnte leider in keiner Datenbank oder in einem Forenbeitrag etwas darüber finden, darum frage ich mal hier nach, ob jemand etwas darüber weiß.
Ich bedanke mich für alle Hinweise.

Sopetran

chaosman 03.07.2005 20:47
@Sopetran
infos gibt es hier
http://www.sophos.com/virusinfo/anal...rojurbina.html

lasse diese dateien
C:\WINDOWS\SYSTEM32\PROTECTED EXCHANGE\HOOKLIB.DLL
C:\WINDOWS\SYSTEM32\PROTECTED EXCHANGE\LOADSVC.EXE
hier http://virusscan.jotti.org/de/
oder hier http://www.malwareupload.com/
überprüfen und poste das ergebnis.

deaktivieren die systemwiederherstellung, neu booten, systemwiederherstellung aktivieren.

chaosman

Sopetran 03.07.2005 22:07
Danke.
Da die Dateien ja schon im Quarantäneverzeichnis waren, konnte ich sie nur dort scannen, hier die Ergebnisse:
Auf der Infoseite wurde ja ein registry-Eintrag erwähnt, dieser ist bei mir nicht (mehr?) vorhanden.



Auslastung:
0% 100%
Datei: HOOKLIB.DLL.VIR
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir TR/Urbin.C.3 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Urbin.C gefunden
ClamAV Trojan.Clicker.Delf-8 gefunden
Dr.Web Trojan.Urbin gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Urbin.C-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Urbin.c gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden



Datei: LOADSVC.EXE.VIR
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-

AntiVir TR/Urbin.C.2 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Urbin.C gefunden
ClamAV Trojan.Clicker.Delf-8 gefunden
Dr.Web Trojan.Urbin gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.Urbin.c gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

PS: Was soll das mit der Wiederherstellung bedeuten, einfach den Rechner runterfahren mit ausgeschalteter Wiederherstellung ohne eine besondere Aktion?

dartus 03.07.2005 22:21
Hallo,

das Deaktivieren der Systemwiederherstellung mit einem gleichzeitigen Neustart bewirkt, dass sämtliche Wiederherstellungspunkte gelöscht werden.
Das ist immer dann sinnvoll, wenn Wiederherstellungspunkte infiziert sind.

dartus

Sopetran 05.07.2005 10:25
Ich habe die systemwiederherstellung ausgeschaltet gehabt, dies hat nun aber zur Folge, dass mein rechner lahm wie sau ist. Ich benötige rund eine halbe Minute, damit ich bei den Windows-Programmpfaden an den vierten Ast komme, oder wenn ich zwischen zwei offenen Tabs im browser wechseln will, oder zwei kleinen offenen Programmen, vom Programm öffnen möchte ich lieber gar nicht reden.
Ich habe die autostart Einträge überprüft, die registry gereinigt und auch einen Festplattenreiniger drüber gejagt und mehrmals neu gestartet.
Aber nix hat sich verbessert, es liegt auch nicht an einem Programm, sondern die gesamte Kapizität geht im Leerlaufprozess verloren.
Kann mir da jemand weiterhelfen?
Danke

PS: Ich kann immer nur eine aktion ausführen wie neuen Programpfad öffnen, neue seite öffnen, neuen Tab öffnen, Fenster wechseln bevor der PC wieder sagt, ne ich will nicht weiter und dies mehrere Sekunden bis zu rund ner halben Minute durchhält, selbst jetzt beim Schreiben dieses PS' hat er zwei Mal blockiert.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131