Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'

Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'


Log-Analyse und Auswertung: Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.03.2010, 20:53   #1
1080p
 
Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193' - Standard

Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'


Hallo,

ich habe mich beim Surfen auf scheinbar unsichere Webseiten verirrt und binnen Sekunden hab ich mir was eingefangen. Scheinbar hab ich eine infizierte PDF-Datei geöffnet wodurch sich weitere Schadsoftware bei mir einnisten konnte. Ich nutze Avira Antivir und die Firewall meines Routers und bin damit eigentlich immer gut gefahren ... bis jetzt. Naja, Antivir hat in jedem Fall angeschlagen und folgende Dateien aufgezeigt:

In der Datei 'C:\Dokumente und Einstellungen\HTPC\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3edmupl6.default\Cache\297AB937d01' wurde ein Virus oder unerwünschtes Programm 'EXP/Pidief.36193' [exploit] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\HTPC\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9YVGL2Z\n002102806r0007J11000601Mdaaec8abRadbf42edX5caea12aY1735a20aZ03008f35317P000100060[1]' wurde ein Virus oder unerwünschtes Programm 'TR/Banker.MultiBanker.TN' [trojan] gefunden.

In der Datei 'C:\Dokumente und Einstellungen\HTPC\Lokale Einstellungen\Temp\ekiC.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Banker.MultiBanker.TN' [trojan] gefunden.

In der Datei 'D:\System Volume Information\_restore{7960EC2B-5414-4B99-B113-961F16045D12}\RP252\A0046255.exe' wurde ein Virus oder unerwünschtes Programm 'SPR/Tool.PScan' [riskware] gefunden.

In der Datei 'D:\System Volume Information\_restore{7960EC2B-5414-4B99-B113-961F16045D12}\RP252\A0046257.exe' wurde ein Virus oder unerwünschtes Programm 'SPR/Remote.CR' [riskware] gefunden.

In der Datei 'D:\System Volume Information\_restore{7960EC2B-5414-4B99-B113-961F16045D12}\RP252\A0046258.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.47104.BA' [trojan] gefunden.

Die letzte Meldung ist schätzungsweise ein Blender, aber die anderen machen mir Sorgen - vor allem der MultiBanker!

Von Antivir habe ich alle Dateien löschen lassen. Ein nachfolgender kompletter Scan hat keine infizierten Datein mehr angezeigt, lediglich die folgenden 4 Warnungen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd1213.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Anschließend hab ich HJT durchlaufen und die Log auswerten lassen. Ergebnis: Alles schön. Prinzipiell würd ich demnach sagen, dass alles in Ordnung ist. ABER: Mein Taskmanager ist manipuliert worden. Er lässt sich zwar öffnen, die Reiter (Anwendungen, Prozesse, Systemleistung...) und die Optionen (Datei, Optionen, Ansicht...) fehlen aber!! Irgendetwas im System ist also kaputt. Nun wäre meine Fragen: Was ist passiert? Kann ich das nochmal hinbekommen oder muss ich mein System neu auflegen? Welche Datei ist manipuliert worden? Wie erkenne ich, ob mein System noch vertrauenswürdig ist?

Danke für eure Tips und Hinweise. MfG, Benny

Ach ja, hier noch di Logfile von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:04, on 15.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\eEBSVC.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\SOUNDGRAPH\iMON\iMON.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Logitech Touch Mouse Server\iTouch-Server-Win.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [iMON] C:\Programme\SOUNDGRAPH\iMON\iMON.exe /startup
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech Touch Mouse Server.lnk = C:\Programme\Logitech Touch Mouse Server\iTouch-Server-Win.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6949 bytes

Alt 15.03.2010, 21:35   #2
1080p
 
Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193' - Standard

Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'


Gleich noch was hinterher: Das Problem mit dem Taskmanager konnte ich lösen. Wenn mein einen Doppelklick auf den Rahmen macht, dann ist alles wieder da. Trotzdem finde ich es komisch, dass die "abgespeckte Ansicht" plötzlich aktiviert war. Probierts mal aus: Öffnet den Taskmagager und klickt doppelt auf dem Rahmen. Ihr werdet sehen, die Ansicht ändert sich (bei XP).

Nachdem dieses Problem nun gelöst ist, kann ich davon ausgehen, dass mein System sauber ist? Antivir läuft ohne Fund durch, HJT Logfile ist OK.

Muss ich mir weiterhin Sorgen machen oder kann ich wieder ohne Risiko online banken?

Danke nochmal und MfG, Benny
__________________
Antwort

Themen zu Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'
antivir, antivir guard, auswerten, avira, bho, bonjour, content.ie5, desktop, excel, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log auswerten, logfile, mozilla, muss ich mein system neu auflegen, pdf-datei, plug-in, programm, riskware, sekunden, server, system, system neu, taskmanager, trojan, virus, windows, windows xp


« Ist mein System versucht? | Win32.Swisyn.by und TR/Trash.Gen-Befall - bin ich wieder sicher? »


Ähnliche Themen: Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'


  1. Remote-Schadsoftware kontrolliert gesamtes Heimnetzwerk: Manipulation des Windows-Remote-Systems
    Log-Analyse und Auswertung - 10.09.2015 (5)
  2. Probleme mit Trojan.Banker
    Log-Analyse und Auswertung - 11.07.2013 (7)
  3. Trojaner TR/Spy.Banker.YF - Online Banking Probleme
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (17)
  4. EXP/Pidief.dis
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (9)
  5. Mit 'BankPatch' alias 'Multibanker' infiziert.
    Log-Analyse und Auswertung - 04.08.2012 (4)
  6. Trojan.Banker / Spy.Banker - weitere Vorgehensweise?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (7)
  7. erst TR/Spy.Banker.Gen2 gefunden, dann TR/PSW.Banker.O.33
    Log-Analyse und Auswertung - 28.03.2012 (26)
  8. Probleme mit Laptop, Verseuchter Link, Trojaner, Remote Control?, Abstürze von Firefox, dlls, Word..
    Log-Analyse und Auswertung - 13.03.2012 (27)
  9. Banker Trojaner und diverse andere Probleme
    Log-Analyse und Auswertung - 11.12.2011 (1)
  10. AVIRA meldet Probleme mit EXP/Pidief.Csa.1.B und JAVA/Agent.EZ/.HZ/.FH
    Plagegeister aller Art und deren Bekämpfung - 16.02.2011 (20)
  11. Trojanisches Pferd TR/Banker.Banker.aywq gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (7)
  12. TR/Banker.MultiBanker.acv, TR/Banker/MultiBankerack und TR/Kazy.2369.7
    Plagegeister aller Art und deren Bekämpfung - 09.11.2010 (1)
  13. TR/Banker.MultiBanker.VT und TR/Dropper.Gen, Malwarebytes Auswertung
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (95)
  14. Trojaner Banker.Multibanker.xx
    Plagegeister aller Art und deren Bekämpfung - 13.08.2010 (16)
  15. Ist das Trojanische Pferd TR/Banker.MultiBanker.VQ - appconf32.exe'
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (2)
  16. TR/Banker.Banker.aits in iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 03.06.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193' - Hallo, ich habe mich beim Surfen auf scheinbar unsichere Webseiten verirrt und binnen Sekunden hab ich mir was eingefangen. Scheinbar hab ich eine infizierte PDF-Datei geöffnet wodurch sich weitere Schadsoftware - Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193'...
Archiv
Du betrachtest: Probleme mit 'SPR/Remote.CR', 'TR/Banker.MultiBanker.TN' und 'EXP/Pidief.36193' auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54