Brauche Hilfe! Win.32.Trojan.Spy.Banker.bai
 

Hallo!
Ich habe mir diesen Win.32.Trojan.Spy.Banker.bai Trojaner eingefangen.
Habe mit Zonealarm antispyware gescannt und hat diesen Trojaner gefunden.
Ich habe diesen dann gleich gelöscht!
Ist es unbedingt notwendig mein system neu aufzusetzen

mein Hijacklog file:

Logfile of HijackThis v1.99.1
Scan saved at 21:47:26, on 26.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\WF2K.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Programme\Tools\PeerGuardian2\pg2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WinFox\WINFOXHW.EXE
C:\WINDOWS\System32\svchost.exe
G:\Programme\Azureus\Azureus.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.inf.tu-dresden.de/portal.php?node_id=1&ln=de&group=13
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - G:\Programme\Tools\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll (file missing)
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PeerGuardian] G:\Programme\Tools\PeerGuardian2\pg2.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - G:\\Programme\\Tools\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\Tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\Tools\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Das ist mein erster Trpjaner und ich weiss garnicht wo ich denn her haben könnte! War auf keiner riskanten seit und habe auch kein Programm runtergeladen!
Ach ja und AntivirGuard(echzeitschutz) hat keine Meldung gemacht!?

Im vorraus schonmal danke!

nun, du solltest GrafikTreiber immer von der Herstellerseite laden.

da du das jetzt weisst , was hast du demnach also falsch gemacht ?

GrafikTreiber für Nvidia : http://www.nvidia.de/page/support.html

GrafikTreiber für ATI : https://support.ati.com/ics/support/...&folderID=4353

mOIn lutzpime,
wo (Pfadangabe) wurde welche Datei (Dateiname)
beanstandet ?:rolleyes:
MFG

der Graka Treiber ist von der dt. Nvidia seit!

DerDateipfad war windows/system32/o.... den genauen Dateinamen weiß ich leider nicht mehr!

Habe noch mal Ad aware durchlaufen lassen und der hat auch nichts mehr gefunden!

Ist mein PC jetzt noch verseucht? (backdoor?)
Bekomme ich irgendwie raus was der alles aufgezeichnet hat?

und was ist das ? : O4 - HKLM\..\Run: [WinFoxV2]

hab schon viele Treiber installiert das jedenfalls ist mir noch nie bis dato untergekommen.

das ist von meinem Grafikkarten-Hersteller ein überwachungstool!
von der original cd.

mOIn nochma,
schaue doch bitte mal bei antivir ins die Log dateien unter Berichte müsste ähnlich sein wie "Unerwünschte Programme gefunden" wenn vorhanden inhalt hierher posten.
MFG

C:\WINDOWS\system32\drivers\oreans32.sys

mOIn nochmal,
leider muß ich dir sagen, daß du dir nen üblen Gast ins Haus geholt hast.
den hier
http://www.sophos.com/security/analyses/trojbifrosekp.html
* Allows others to access the computer
* Reduces system security
* Installs itself in the Registry
* Leaves non-infected files on computer
es bleibt nur ein Neuaufsetzen des Systems am besten nach dieser sehr guten Anleitung
http://www.trojaner-board.de/showthread.php?t=12154
und lese dich ein wenig ein, dort wird auch aufgezeigt was Backdoors so alles können
MFG

@nochdigger
danke für den tipp mit der logdatei!
habe bei Zonealarm ein bisschen in der Logdatei rumgestöbert.
und siehe da
OSFW,2006/07/26,17:21:24 +2:00 GMT,UNKNOWN(0),PREY,G:\PROGRAMME\Prey\prey.exe,DRIVER,CREATE,SRC,OREANS32

Also war wieder mal so ein schlauer Kopierschutz schuld! Wo ich den Dateinamengefunden hatte ist mir eingefallen das prey beim starten umbedingt einen Treiber installieren wollte-> habe in der Logdatei nach Prey gesucht und den Treiber den Prey installiern wollte ist oreans32!
Hatte aber die Installation via Zonealarm verboten!

Aber warum hat der die "Signatur" von einem Trojaner?
(Prey ist Original!)

Jetzt müsste ja alles gegessen sein?

Habe nochwas in einem andere Forum gegooglt
Oreans32.sys is not a virus/malware but a licensed part of protection system, which does not monitor any activity on user's PC apart from protecting software from hacking/reverse engineering.

Some trojans can infect this file, though I could find no trace of any variants that use oreans32.sys even though ZoneAlarm Anti-spy identifies it as Win32.Trojan.Spy.Banker.bai.

I'm monitoring the file but it seems safe and Antivirus/Spyware programs have said it is clean so far. There are also no files in the system or entries in registry from any of the variants. So enjoy the game and I'll post back if I notice anything suspicious.

Das würde auch erklären warum Antivir nichts gemeldet hat

Da habe ich ja anscheinend glück gehabt!

mOIn lutzpime,
währe schön wenn ich mich irre:huepp: drum lasse die Datei bitte hier überprüfen
http://virusscan.jotti.org/de/
oder hier
http://www.virustotal.com/en/indexf.html
(kann in beiden Fällen etwas dauern)
poste in beiden fällen bitte das Ergebnis
MFG

Das Problem ist ja das ich die Datei nicht mehr habe (habe ich gelöscht)!
und Prey habe ich wieder zurück gegeben.

Also habe jetz Antivir,Zonealarm,Ad Aware und einen Rootkit Revealer durchlaufen lassen und keines hat irgendwo angeschlagen!
Heißt das jetzt dasmein System sauber ist?

mOIn lutzpime,
hey, saubere arbeit :daumenhoc du hast klasse gearbeitet an deinem problem und ich freue mich, daß ich mich getäuscht hab.
Du kannst zum Abschluß Antivir ja nochmal drüberjagen aber ich glaub dein Rechner ist Clean
MFG