Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Befallene dateien vom trojanischen Pferd befreien (https://www.trojaner-board.de/59499-befallene-dateien-trojanischen-pferd-befreien.html)

caerula 08.09.2008 20:56
Befallene dateien vom trojanischen Pferd befreien
 
Hallo,

ich hab heute von anti vir ne trojaner warnung erhalten und die datei daraufhin gelöscht.
habe dann einen kompletten systemcheck durchlaufen lassen und einige trojaner gefunden und in quarantäne verschoben.
hier ein paar gefundene schädlinge:
Trojanische Pferd TR/Agent.53760.O
Trojanische Pferd TR/Agent.59904.B
Trojanische Pferd TR/Smalltroj.ELLI
Trojanische Pferd TR/Spy.Agent.34816.A
Backdoorprogramm BDS/Pcclient.578
etc.

nun würde ich gerne wissen ob ich die befallenen dateien irgendwie von den trojanern befreien kann ohne sie zu löschen, so dass ich sie wieder benutzen kann. (sind ja vorerst nur in quarantäne)
und ich hätte gerne noch gewissheit dass anti vir auch alle schädlinge gefunden hat. welche weiteren scanner könnt ihr mir dafür empfehlen?

vielen dank im voraus
melli

trojan-death 08.09.2008 21:00
Hi und :hallo:

Die Pfade zu den gefunden Trojaner wären nützlich;)
Backdoor Programm... Das schreit förmlich nach Neuaufsetzen...
Bitte poste mal ein Hijackthis Logfile und lade die Datei die das "Backdoor Programm" enhält bei VirusTotal hoch.

caerula 09.09.2008 16:47
pfad zum backdoor file:
D:\System Volume Information\_restore{A3CDC01B-DBF4-4869-8B3E-7A0F312467DE}\RP72\A0022257.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Pcclient.578
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f56715.qua' verschoben!


zur info: mein OS liegt auf C... alle trojaner und backdoor programme die gefunden wurden liegen/lagen auf D (in einem meiner alten sicherungsordner)

werde jetzt mal n hijack scan machen...
logfile kommt im nächsten post

caerula 09.09.2008 17:08
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:23, on 09.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ICQ\ICQ6\ICQ.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Logfile\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1213721430418
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
 
--
End of file - 4800 bytes

caerula 09.09.2008 17:27
hab jetzt des backdoor file auf virus total hochgeladen:

MD5: 296f5e28714414230c3763cf1f9b0880
First received: 2007.05.01 01:29:47 (CET)
Datum 2008.09.08 16:48:25 (CET) [+1D]
Ergebnisse 11/36
Permalink: analisis/dc1ab13e41d3152135deb9afd3747dc6

trojan-death 09.09.2008 19:24
Zitat:
Zitat von caerula (Beitrag 370968)
hab jetzt des backdoor file auf virus total hochgeladen:

MD5: 296f5e28714414230c3763cf1f9b0880
First received: 2007.05.01 01:29:47 (CET)
Datum 2008.09.08 16:48:25 (CET) [+1D]
Ergebnisse 11/36
Permalink: analisis/dc1ab13e41d3152135deb9afd3747dc6
Ich müsste noch wissen was genau gefunden wurde:D
Falls da 2, 3, 4 oder gar mehr mal steht das ein Backdoor gefunden wurde, solltest du Neuaufsetzen.

caerula 13.09.2008 10:45
also ich hab versucht die datei nochmal bei virustotal hochzuladen aber da spinnt grad irgendwas... werds nachher nochmal probieren.

und wie gesagt... alle schädlichen dateien lagen in alten, nicht mehr verwendeten ordnern.
warum soll ich also neu aufsetzen, wenn weder highjack this noch anti vir irgendwelche weiteren viren/backdoors finden?

trojan-death 13.09.2008 10:50
Zitat:
Zitat von caerula (Beitrag 372557)
warum soll ich also neu aufsetzen, wenn weder highjack this noch anti vir irgendwelche weiteren viren/backdoors finden?
Lies dir das mal durch ---> Klick
Vlt. verstehst du jetzt, warum Neuaufsetzen bei Backdoorinfizierung notwendig ist:)
Wenn nicht kann ich's dir auch in verständlicheren Worten erklären ;)

grüsse trojan-death


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131