Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Drop.Bancos.BG.1

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.09.2005, 13:08   #1
Garrett
 
TR/Drop.Bancos.BG.1 - Beitrag

TR/Drop.Bancos.BG.1



Hallo,

habe gestern abend bei Eidos.de versucht einen Patch zu
ThiefII The Metal Age herunterzuladen -dabei gab es folgende
Trojaner -Meldung:

...dies ist der Trojaner:

TR/Drop.Bancos.BG.1

immer im selben Pfad: C:\Dokumente und Einstellungen\Jxxx\Lokale...\TEMP

Habe dann gestern abend im Abgesicherten Modus alles durchgescannt, mit:

AntiVir -neueste Vers. (heute schon zweimal versucht upzudaten -noch keine
neuere Vers. vorhanden -letztes Update war gestern mittag.
SS&D und mit Stinger, jeweils neuste Vers. -haben auch nichts gefunden.

Er findet nichts -ich finde im Temp Ordner auch nichts -Google hat keine
Infos zu genannten TR/

Im AntiVir -der Virusliste, ist der Trojaner aufgelistet -ich kann ihn auch löschen, wenn ich ihn allerdings nur sperre, sehe ich im Temp-Ordner trotzdem nichts -Systemdateien sperren und alle Datein und Ordner anzeigen habe ich für diesen Zweck mal entsprechend ungestellt.

Habe vorhin noch zweimal (ich wollte es genau wissen) den Link bei Eidos.de
angeklickt -immer das selbe Ergebniss -Trojaner!
Die Datei wird auch nie rundergeladen, bzw. ich beende das sofort, hatte gestern nur nicht darauf geachtet, wie der TR/ sich nennt -

im Eidos.de Foren habe ich heute früh schon einen Thread dafür eröffnet -
ich werde den Eindruck nicht los, das der TR/ sich erst durch den Link
anklicken runterladen will oder wie auch immer.

Das passiert nur bei diesem Link -die Patch Datei ist dann, wahrscheinlich durch meinen Abbruch immer nur in 0Byte abgelegt, worüber ich eigentlich
auch froh bin -ich denke der Trojaner steckt in den Patch oder zumindest
könnte er durch den Link runtergeladen werden.

Also die AV Meldung kommt, nachdem ich den Link angeklickt habe -komischerweise geht der Download nicht automatisch los, obwohl er
das sollte -dann die Abfrage vom Firefox in welchen Pfad man runterladen will,
klickt man dann auf OK -kommt sofort die AV-Meldung!

edit: vielleicht ist das ja wichtig...
Heute beim zweiten Versuch, lautet die Datei unter TEMP ->

\04Z2YDRJ.exe

beim dritten Versuch ->

\WIQZSYYZ.EXE

LogFile:

Geändert von Garrett (11.09.2005 um 13:14 Uhr)

Alt 11.09.2005, 18:20   #2
chaosman
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



@Garrett
update dein system und IE ASAP, sind ja beide veraltet.

lade clearprog
alle häkchen setzen bei windows und IE

scanne danach dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

poste bitte die ergebnisse per copy and paste methode
chaosman
__________________

__________________

Alt 12.09.2005, 09:49   #3
Garrett
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



Hallo chaosman,

danke erstmal für die Hilfe.

Folgendes hat sich jetzt ergeben, hat sich auch überschnitten.

Habe mein SYS gestern abend platt gemacht, da ich ja keine Gewissheit hatte, und alles neu aufgesetzt. Vorhin war ich noch im Eidos-Forum, die hatten mittlerweile den besagten Patch gescannt und festgestellt, das er virenfrei ist -
also habe ich doch diesen Misthund (Entschuldigung ) draufgehabt.

Bin jetzt erstmal mit Win98 im Net -mit aktuellsten Update-Pack 1.2 von
Winboard.
Im IE sind ActiveX Steuerelemente und ActiveScripting abgestellt.
Nutze den OperaBrowser und natürlich aktuelles AntiVir.

Das Escan werde ich trotzdem mal nutzen auch die anderen Sachen -
Danke dir vielmals...
ein neues LogFile poste ich später mal rein -vielleicht ist das noch was -
oder auch schon wieder was neues, hoffe es aber nicht -habe das Sys auch noch nicht ganz fertig eingerichtet, also
Stinger und SS&D sind noch nicht wieder drauf.

Platte habe ich mit LowLevel formatiert.

Mich würde trotzdem mal interessieren, was dieser TR/ anstellt?
Google hatte keine Infos...

Danke und Gruß
__________________

Alt 12.09.2005, 10:07   #4
stupormundi
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



Hallo, garrett
Zitat:
Mich würde trotzdem mal interessieren, was dieser TR/ anstellt?
Google hatte keine Infos...
Suchen will gelernt sein...
Guck´ mal hier http://www.sophos.de/search/?search=...&action=search
Hoffe, es hilft Dir weiter
stupormundi

Alt 12.09.2005, 11:00   #5
chaosman
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



@Garrett

genauer genommen wäre der hier richtig
http://www.sophos.de/virusinfo/analy...jbancosbv.html
Suchen will gelernt sein...
kann ich nur unterstreichen

chaosman

__________________
Bonus vir semper tiro

Alt 13.09.2005, 23:16   #6
Garrett
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



...ich habe die Schnauze voll.

Naja, habe mich auf Goggle allein beschränkt, das sollte eigentlich
nicht heißen, das ich nicht suchen kann...
aber lassen wir das. :-)

Also besagtes Win98 mit aktuellen UpdatePack usw. hat leider nur
zur Folge gehabt, das ich schon nach kurzer Zeit gleich den
nächsten TR/ draufhatte -diesen habe ich mir aber nicht gemerkt.
Wurde festgestellt, als ich ein Programm von originalen DT installieren wollte.

Wie dem auch sei -FP wieder formatiert, aber diesmal ein einfaches Format C:

Dann Winxp wieder drauf + SP1 + zwei aktuelle UpdatePacks für SP1 +
aktuelles AntiVir + euer Vorschlag eScan + extra OutpostFirewall -
obwohl ich im DSL Modem integrierte HWF habe.
Außerdem wieder AdAware SE und Spybot S+D, alles aktuell.
Outpost ist aber nicht aktuell...

Dann habe ich gescannt wie ein wilder, Ergebniss: (abgesicherter Modus)
LogFile von eScan: (sind angeblich Viren in den Update-Packs)

11Viren

AdAware SE - immer dieses Alexa -das habe ich xmal schon unter Quarantäne gestellt.
S-S+D haben mir auch das Alexa, außerdem ein paar Exploits und eine FM gebracht. Die Exploits sind gesperrt (PW) Alexa wie im AdAware und die FM:

Xuron55 - win.ini konnte nicht geöffnet werden...

Den Rest konnte ich nicht lesen, vielleicht könnt ihr damit was Anfangen.?

Ich sehe gerade -kann keine Smilies klicken -wirft mich nach oben zum Logo.
Die LogFiles kann ich auch nicht anhängen... *grübel*

Danke euch vielmals für den Link... ein sehr übler TR/, aber eigentlich sind sie das ja alle.

Gruß
edit: bevor ich es vergesse: XP-Dienste wurden natürlich auch eingestellt -
zuerst mit einem Tool (CCC) dann noch nach einer Liste von Windows Tweak
etwas angepasst -vieles ist deaktiv.
Im IE alles abgestellt, nur FF und Opera zum Browsen. OE wird auch nicht benutzt -nur Thunderbird.

Geändert von Garrett (13.09.2005 um 23:24 Uhr)

Alt 13.09.2005, 23:41   #7
chaosman
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



@Garrett
Xuron55 lese hier mal nach
http://www.trojaner-board.de/showthr...hlight=Xuron55

Alexa wird von Spybot gelöscht.
scanne doch mal mit escan und poste die ergebnisse
http://www.trojaner-board.de/showthread.php?t=17492

btw: warum hast du kein sp2 installiert?

chaosman
__________________
Bonus vir semper tiro

Alt 14.09.2005, 00:18   #8
Garrett
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



Sorry, habe mal schnell den Opera draufgezogen -jetzt geht wieder
alles, irgendwie scheint der FF etwas Probleme zu haben, mit Seitenansicht
und Funktion...

Danke, also hat sich das mit dem Xuron55 erstmal erledigt -dachte schon
das sein ein Wurm oder sowas.

Ich habe schon mit eScan gescannt -hänge es hier mal mit rein, alle beide.
Ich habe noch kein SP2.

Logfile of HijackThis v1.99.1
Scan saved at 22:28:01, on 13.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\JensG\Desktop\Download\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

Jetzt das andere.

Tue Sep 13 21:02:10 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Sep 13 21:02:10 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Tue Sep 13 21:02:10 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Tue Sep 13 21:02:39 2005 => Offending file found: C:\DOKUME~1\JensG\LOKALE~1\Temp\insthelp.dll
Tue Sep 13 21:02:39 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.


Tue Sep 13 21:02:58 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Sep 13 21:02:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Tue Sep 13 21:02:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "E:\hijackthis.exe". Action Taken: No Action Taken.

Tue Sep 13 21:02:58 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823980". Action Taken: No Action Taken.

Tue Sep 13 21:03:03 2005 => Entry "HKCR\.sdp" refers to invalid object "soffice.StarStorageDocument.5". Action Taken: No Action Taken.

Tue Sep 13 21:03:03 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.

Tue Sep 13 21:07:15 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\*.*
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip
Tue Sep 13 21:07:15 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip is Not Scanned
Tue Sep 13 21:07:15 2005 => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Tue Sep 13 21:07:15 2005 => Scanne Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Statistics.ini

Tue Sep 13 21:07:46 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\eScan\mwav.exe
Tue Sep 13 21:08:09 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\MailWasher_Free_setup.exe
Tue Sep 13 21:08:16 2005 => Scanne Verzeichniss: C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\*.*
Tue Sep 13 21:08:16 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.11_to_1.12_XP.exe
Tue Sep 13 21:08:24 2005 => Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.11_to_1.12_XP.exe markiert als not-a-virus:RiskTool.Win32.PsShutdown.232. Keine Aktion vorgenommen.

Tue Sep 13 21:08:24 2005 => Scanne Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.13_XP.exe
Tue Sep 13 21:09:29 2005 => Datei C:\Dokumente und Einstellungen\JensG\Desktop\Download\WinUpd\WinBoard.org_UpdatePack_1.13_XP.exe markiert als not-a-virus:RiskTool.Win32.PsShutdown.232. Keine Aktion vorgenommen.

Ich bekomme leider keine Anhänge rein, sonst wäre das alles viel einfacher -
das sind jetzt imho nur die wichtigsten, er hat mit eben 11 Viren gebracht, also im Scan.
Komme morgen nochmal her und versuche das anzuhängen -ich den Button dafür gar nicht.
Gute Nacht & danke für eure Hilfe!

Alt 14.09.2005, 05:29   #9
stupormundi
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



Hallo, garrett
Du bist wieder auf dem besten Weg zu einer Neuinfektion!
Zitat:
Dann Winxp wieder drauf + SP1 + zwei aktuelle UpdatePacks für SP1
und
Zitat:
Ich habe noch kein SP2.
von wegen: Dein aktueller Installations- und Patchstand zeigt, dass Du nicht einmal SP1 installiert hast
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 22:28:01, on 13.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Wenn Du die Anleitung genau liest, wirst Du sehen, dass du vor dem Einstieg ins Netz alle aktuellen Servicepacks und Sicherheitspaches und was es sonst noch so an Tipps (v.w. ports, Benutzerkonten, etc...) gibt, erledigt haben solltest. Eine PFW (Outpost et alt. wird Dir das nicht abnehmen!
Bis denn, stupormundi

Alt 14.09.2005, 10:20   #10
Garrett
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



Hallo stubormundi,

ich möchte mich mit niemanden Streiten, es gibt schon genug Unheil
auf dieser Welt.
Dennoch kann ich dir sagen, das ich SP1 installiert habe vom originalen
DT -eine MS-Service CD von 2004, lag mal einer PC-Zeitschrift bei.
Da sind alle ServicePacks und Updates bis zum damaligen Zeitpunkt
als aktuell geltend drauf, für:

XP Home und Prof., sowie 2000 und Office2003 und alle XP-Office, außerdem
IE 6 mit SP1, DirectX 9.0b und WindowsInstaller 2.0

Ich weiß leider nicht wieso bei mir das SP1 nicht angezeigt wird.
Bei der Installation wird angezeigt:
MS 03 - 026 /SP1 (irgendwas mit "a" im Anschluss)
Ist der Kumulative Batch "KB 823980" HotFix

Im Anschluss habe ich dann die zwei UpdatePacks von Winboard
installiert, einer davon war 11,9Mb der zweite und aktuellste für XP-SP1
war 135Mbyte groß...
in diesen Packs findet eScan auch und Hauptsächlich die Viren?

Da ich weder ein LogFile anhängen kann (weiß immer noch nicht wieso?), noch die Einträge aus der Software reinkopieren kann, bleibt mir nur noch die
Eingabe von Hand...
tja, dumm gelaufen. :-)

Was die Outpost angeht, ich weiß das sie mir das nicht abnimmt -doch was ist mit den Diensten? OP dient mir auch mehr dazu, alles zu verbieten was nicht nach draußen telefonieren soll.
CCC selbst sagt, wenn die Dienste mit dessen Tool eingestellt sind, brauch
es im Normalfall eigentlich keine PFW mehr..., vorausgesetzt man hält sich an
die anderen Ordentlichkeiten.

Hier mal alle Hotfixes: (aus der Softwaresteuerung)

IE - Q903235

MS Data Acess Components KB - 870669
Sicherheitsupdate Step by Step IT KB - 898458
WindowsInstaller 3.1 KB - 893803
WindowsMediaPlayer HotFix KB - Q828026

XP HF KB - 821253
XP HF KB - 823182
XP HF KB - 824105

XP HF KB (SP1) - Q329256
XP HF KB (SP1) - Q329692
XP HF KB (SP1) - Q331958
XP HF KB (SP1) - Q810272
XP HF KB (SP1) - Q819696

XP HF KB - 810217
XP HF KB - 824141
XP HF KB - 824151
XP HF KB - 825119
XP HF KB - 826939
XP HF KB - 828028
XP HF KB - 828035
XP HF KB - 828741
XP HF KB - 829558
XP HF KB - 833987
XP HF KB - 835732
XP HF KB - 837001
XP HF KB - 839643
XP HF KB - 839645
XP HF KB - 840315
XP HF KB - 840374
XP HF KB - 840987
XP HF KB - 841356
XP HF KB - 841533
XP HF KB - 841873
XP HF KB - 842773
XP HF KB - 873376
XP HF KB - 885523
XP HF KB - 887811

XP HF KB (SP2) - Q811114

Das zuerst installierte (SP1) KB - 823980 ist hier in der SW nicht mehr mit
aufgeführt - wahrscheinlich wurde es ersetzt -im Pfad:

C:\Windows steht es aber als Textdokument mit aufgeführt, genau wie alle
anderen HF bzw. KB's auch.

Gruß

Alt 14.09.2005, 10:37   #11
chaosman
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



@Garrett
sp2 bekommst du hier
http://www.microsoft.com/windowsxp/d...e/default.mspx
lade clearprog
setze alle häkchen bei windows und IE, löschen

die " refers to invalid object" bekommst du mit regseeker weg.

chaosman
__________________
Bonus vir semper tiro

Alt 14.09.2005, 17:52   #12
Garrett
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



Hallo chaosman,

danke für die Links, waren sehr hilfreich.

Also anfänglich hatte eScan ja noch 11 Viren angezeigt, vorhin waren
es nach Einsatz von ClaerProg und regseeker nur noch 6 Viren.

Das ganze wie immer im abgesicherten Modus (Systemwiederherstellung deaktiv).
Hier noch mal das Ergebniss -eScan:
----------------------------------------------------------------------
Datei C:\Domkumente und Einstellungen\Jens\Download\WinUpd\WinBoard.org_UpdatePack_1.11_to_1.12_XP.exe markiert als not-a-virus:RiskToll.Win32.PsShutdown.232. Keine Aktion vorgenommen

Datei C:\Domkumente und Einstellungen\Jens\Download\WinUpd\WinBoard.org_UpdatePack_1.13_XP.exe markiert als not-a-virus:RiskTool.Win32.PsShutdown.323. Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB823980". Action Taken: No Action Taken.
-----------------------------------------------------------------------

Wundert euch jetzt nicht, das es nur 4 Einträge, statt der 6 gezeigten -
zwei habe weggelassen, da es genau die gleichen waren.
Warum er das zweimal auflistet -keine Ahnung.?
(es handelt sich dabei um die Winboard_Update Einträge!)

So mit regSeeker habe ich die beiden "refers to invalid..." Einträge rausgeschmissen.
Habe vorher nochmal mit Ad-Aware gescannt, wegen der Alexa-Einträge,
die sind jetzt weg, habe diese (alle drei) in der Reg. von Hand entfernt.
S-S & Destroy haben nichts mehr gefunden, ausser das die Xuron55 Meldung
sich in eine New.net Meldung verwandelt hat, wieder mit der Aussage, das
Win.ini nicht geöffnet werden konnte.

Bin dann wieder in den Normal-Modus gegangen, habe mit regseeker nochmals
gescannt, er hat prombt wieder 3 (2xrot, 1x grün) gefunden (SwH war noch deaktiv), habe diese drei dann nochmals entfernt, danach die SwH aktiv gesetzt und nochmal gescannt, kam dann nichts mehr.
Zusatz:
Von insgesamt 184 Einträgen mit regseeker habe ich im ersten Durchgang
57 (rote) entfernt, zweiter Durchgang -129 Einträge -5 rote entfernt -
außerdem noch zwei Grüne und noch die zwei Roten Einträge entfernt.
Er hält sich jetzt bei 120 Einträgen -
einige davon sind irgendwelche CLIDS (schwarze) Einträge
Die Mehrzahl sind grüne Einträge mit der Bezeichnung "Datei oder Pfad existiert nicht"
Ein paar davon wiederum mit der Bezeichnung "Ungültiger Eintrag"

Um kein unötiges Risiko einzugehen (Sichern vor Löschen war immer aktiv),
wollte ich erstmal fragen, ob diese Einträge ebenfalls gelöscht werden sollten,
ich habe mich da etwas nach die Farbgebungen gerichtet.

Zweite Frage: Wie soll oder kann ich eigentlich mit den WinBoard_Update
Einträgen umgehen, ich müsste diese schon komplett löschen, um die Einträge
im eScan verschwinden zu lassen.

Mit ClearProg habe ich auch aufgeräumt - er hat doch einiges gefunden und
war auch sehr hilfreich.

SP2 bekomme ich von einen guten Freund, der hat diese auf CD.

Danke euch nochmal Vielmals für eure ausgezeichnete Hilfe und Unterstützung!
Gruß

Alt 14.09.2005, 18:04   #13
chaosman
 
TR/Drop.Bancos.BG.1 - Standard

TR/Drop.Bancos.BG.1



@Garrett
Um kein unötiges Risiko einzugehen (Sichern vor Löschen war immer aktiv),
wollte ich erstmal fragen, ob diese Einträge ebenfalls gelöscht werden sollten,
ich habe mich da etwas nach die Farbgebungen gerichtet.

Zweite Frage: Wie soll oder kann ich eigentlich mit den WinBoard_Update
Einträgen umgehen, ich müsste diese schon komplett löschen, um die Einträge
im eScan verschwinden zu lassen.


zum ersten, warte eine bestimmte zeit ab ob dein system stabil ist, wenn ja, dann kannst du irgendwann löschen.
zum zweiten, wenn es dich nicht stört, dann drauf lassen.
würde im zukunft die updates über Microsoft holen

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu TR/Drop.Bancos.BG.1
abbruch, abgesicherten, abgesicherten modus, anzeige, anzeigen, automatisch, download, druck, einstellungen, eröffnet, firefox, folge, foren, heute, klicke, klicken, link, link angeklickt, löschen, modus, neuste, nichts, ordner, sperren, stinger, temp, temp ordner, temp-ordner, update, zweck




Ähnliche Themen: TR/Drop.Bancos.BG.1


  1. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  2. TR/Trash.gen & TR Bancos
    Log-Analyse und Auswertung - 19.06.2012 (1)
  3. Verunsicherung wegen Gen-Bancos
    Plagegeister aller Art und deren Bekämpfung - 26.10.2011 (12)
  4. TR/Banker.Bancos.orq verhindert das Öffnen von Programmen
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (34)
  5. Trojaner Banker.Bancos auf PC (Desktop)
    Plagegeister aller Art und deren Bekämpfung - 05.03.2010 (2)
  6. PC meldet sich sofort wieder ab,Trace.File.Bancos!A2 in x:\i386\system32\network.exe
    Log-Analyse und Auswertung - 27.02.2010 (0)
  7. TR/Banker.Bancos.keo & TR/Vundo.Gen treiben ihr Unwesen
    Log-Analyse und Auswertung - 21.12.2009 (1)
  8. Trojaner gefunden: TR/Drop.fra.2168720', TR/Drop.fra.2168720' u 'TR/Dldr.Client.kiu
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (3)
  9. xp Registry Bancos IXQ
    Plagegeister aller Art und deren Bekämpfung - 09.07.2009 (0)
  10. Windows-Update-Tool ermittelt TrojanSpy:Win32/Bancos.gen!A, kann aber nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.04.2009 (20)
  11. TR/Crypt.XPACK.Gen'/ TR/Drop.Agent.qkm/ TR/Drop.Mudr.CY.305...alles seit heut morgen!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (8)
  12. TROJAN-PWsteal.bancos
    Plagegeister aller Art und deren Bekämpfung - 28.02.2009 (1)
  13. Trojan-PWS.Bancos
    Plagegeister aller Art und deren Bekämpfung - 15.03.2008 (10)
  14. Lemir.g und Bancos!gen
    Log-Analyse und Auswertung - 05.01.2008 (2)
  15. Trojan-Spy.Win32.Bancos.aam
    Plagegeister aller Art und deren Bekämpfung - 14.06.2007 (3)
  16. tr/drop.bancos.bg.1
    Plagegeister aller Art und deren Bekämpfung - 22.09.2005 (2)
  17. TR/Spy. Bancos.aht.2 wie bekomme ich den wieder weg??
    Plagegeister aller Art und deren Bekämpfung - 13.07.2005 (7)

Zum Thema TR/Drop.Bancos.BG.1 - Hallo, habe gestern abend bei Eidos.de versucht einen Patch zu ThiefII The Metal Age herunterzuladen -dabei gab es folgende Trojaner -Meldung: ...dies ist der Trojaner: TR/Drop.Bancos.BG.1 immer im selben Pfad: - TR/Drop.Bancos.BG.1...
Archiv
Du betrachtest: TR/Drop.Bancos.BG.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.