![]() |
Trojanisches Pferd Downloader. Small. 7.AZ Mahlzeit ich habe eine Frage ein bekannter von mir hat das Trojanische Pferd Downloader. Small. 7.AZ alle von mir benutzten Programme erkennen ihn zwar aber können ihn nicht entfernen! Frage: Kennt jemand diesen und wenn ja wie kann ich ihn weg machen???? |
Er soll mal ein HijackThis-Log posten: http://filepony.de/download-hijackthis/ Mit einem Scan mit eScan kann er diesen Schädling mit Sicherheit entfernen: http://www.trojaner-board.de/showthread.php?t=6083 |
|
Frage: Kennt jemand diesen und wenn ja wie kann ich ihn weg machen????[/QUOTE] Hallo, weiß jemand was dieser Trojaner auf dem Rechner veranstaltet :confused: Gruß Bubele |
Hallo Bubele, mittlerweile habe ich eine Spur dieses Trojaners entdeckt. Bedauerlicherweise ist diese Spur in kroatischer oder polnischer Sprache geschrieben, folglich kann ich leider nicht lesen, was er bewirkt. Wo hast Du ihn denn entdeckt? Ist er vielleicht in den Temporary Internet Files ? Poste doch mal ein logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html SD |
Hallo Shadowdance, der Trojaner wurde auf dem Rechner mit AVG-Virenscanner entdeckt, konnte aber nicht entfernt werden. Das file war C:\Dokumente und Einstellungen\Administrator\TemporaryInternetFiles\Content.IE5\ULO72TE1\cax[1].cab:\Ole32ws.dll Nachdem ich einen e-scan im Abgesicherten Modus laufen lies wurde zwar auch etwas gefunden, leider immmer "no aktion taken" & 1 x "renamed". Schließlich habe ich mit Tune up den Kompletten Ordner "TemporaryInternetFiles" gelöscht, seit dem ist Ruhe, sprich der Virenscanner findet nix mehr. :daumenhoc Interessant wäre halt nun noch zu wissen was dieser Trojaner anstellt. Gruß Bubele Hier noch ein logfile von Highjackthis: vieleicht findet jemand noch Ungereimtheiten. Logfile of HijackThis v1.98.2 Scan saved at 08:58:52, on 29.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\WINDOWS\twain_32\S6U12BX\WATCH.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\FRITZ!\FriFax32.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\Gupta\dbnt1sv.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ngi-net.de/x/privat/index.php?main=10 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\PROGRA~1\Grisoft\AVG7\avgregcl.exe /BOOT O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: refresh.lnk = C:\Programme\Bitec\Programme\refresh.exe O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21cabb0f...dxIE601_de.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.oberberg.net/activex/AxisCamControl.ocx |
Wie der Name schon sagt, sind diese Dateien in der Regel dazu da, sich auf dem System einzunisten, meist eingebettet in Skripte und dann den eigentlichen Schädling aus dem Netz nachzuladen und auszuführen, besitzen also selbst strenggenommen noch keine direkt schädlichen Bestandteile. Einer der Gründe, weswegen man nicht den IE benutzen oder wenigstens die aktiven Inhalte (Active-X, VBS, Java-Script) standardmäßig deaktivieren sollte. Gibts mal eine Seite, auf der es unbedingt nötig ist, sollte man sicher sein, dass sie vertrauenswürdig ist und dann mal vorübergehend wieder aktivieren (z.Bsp. bei Windowsupdate). Wenn es in den temporären Files war, dürfte eigentlich nichts passiert sein, evtl. waren aktive Inhalte ja auch wirklich deaktiviert, es wurde also zwar heruntergeladen, aber konnte nicht ausgeführt werden. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board