Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.05.2010, 15:56   #1
ers
 
Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ? - Standard

Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?



Hallo,

ich habe ein Problem, habe eine Datei runter geladen, bei der ich schon skeptisch war. Habe sie vorher mit Antivir überprüft, der schlug nicht an, also öffnete ich die Datei.
Nachdem ich die Datei angeklickt hatte, tat sich nichts, und diese war vom Desktop verschwunden, also wurde ich noch skeptischer und habe die Datei erneut runtergeladen und zu Virustotal hochgeladen.
Der spuckte mir dann folgende Meldungen aus:

Zitat:
Ergebnis: 14/41 (34.15%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.02 -
AhnLab-V3 2010.05.02.00 2010.05.01 ASD.Prevention
AntiVir 8.2.1.224 2010.04.30 -
Antiy-AVL 2.0.3.7 2010.04.30 -
Authentium 5.2.0.5 2010.05.01 W32/FakeAlert.5!Maximus
Avast 4.8.1351.0 2010.05.02 -
Avast5 5.0.332.0 2010.05.02 -
AVG 9.0.0.787 2010.05.02 -
BitDefender 7.2 2010.05.02 Trojan.Renos.PFI
CAT-QuickHeal 10.00 2010.05.01 -
ClamAV 0.96.0.3-git 2010.05.02 -
Comodo 4740 2010.05.02 -
DrWeb 5.0.2.03300 2010.05.02 Trojan.DownLoader1.6583
eSafe 7.0.17.0 2010.04.29 -
eTrust-Vet 35.2.7462 2010.04.30 Win32/FakeCodec.C!generic
F-Prot 4.5.1.85 2010.05.01 W32/FakeAlert.5!Maximus
F-Secure 9.0.15370.0 2010.05.02 Trojan.Renos.PFI
Fortinet 4.0.14.0 2010.05.02 -
GData 21 2010.05.02 Trojan.Renos.PFI
Ikarus T3.1.1.80.0 2010.05.02 -
Jiangmin 13.0.900 2010.05.02 -
Kaspersky 7.0.0.125 2010.05.02 -
McAfee 5.400.0.1158 2010.05.02 -
McAfee-GW-Edition 6.8.5 2010.05.01 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.5703 2010.05.02 -
NOD32 5080 2010.05.02 -
Norman 6.04.12 2010.05.02 -
nProtect 2010-05-02.01 2010.05.02 Trojan.Renos.PFI
Panda 10.0.2.7 2010.05.02 Suspicious file
PCTools 7.0.3.5 2010.05.02 -
Prevx 3.0 2010.05.02 -
Rising 22.45.04.03 2010.04.30 Packer.Win32.Agent.GEN
Sophos 4.53.0 2010.05.02 Mal/FakeAV-CX
Sunbelt 6249 2010.05.02 VirTool.Win32.Obfuscator.hg!b (v)
Symantec 20091.2.0.41 2010.05.02 -
TheHacker 6.5.2.0.275 2010.05.02 -
TrendMicro 9.120.0.1004 2010.05.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.02 -
VBA32 3.12.12.4 2010.04.30 -
ViRobot 2010.5.1.2299 2010.05.02 -
VirusBuster 5.0.27.0 2010.05.01 -
nun habe ich mir bitdefender runtergeladen und überprüfen lassen, der hat nun schon 2x Datein gefunden und gelöscht die mit "Trojan.Renos.PFI" infiziert waren

Hijackthis Log sieht so aus:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:36, on 02.05.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Datein\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdlite.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://notifier.avira.com/stats.php?id_not=382&url=https%3A%2F%2Favira.cleverbridge.com%2F30%2Fcookie%3Fx-origin%3Dnotifier%26x-notifier%3DCBO6_DE%26expiry%3D28%26redirectto%3Dhttp%253A%252F%252Fwww.computerbild.de%252Favira-antivir-produkte-5159324.html
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSRaid] C:\Programme\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOKUME~1\Martin\LOKALE~1\Temp\Mbh.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: QIP Infium - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP Infium\infium.exe (file missing) (HKCU)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software GmbH - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7095 bytes
Ist mein Rechner nun infiiziert ? Muss ich das System neu aufsetzen ?
Oder reicht die Löschung via Bitdefender ?
Wenn ich mein System neu Aufsetzen muss, muss ich auch die dauerhaft angeschlossene externe Festplatte löschen, oder bleibt diese vom Befall verschohnt ?

PS: Ich habe den Rechner bisher nicht neugestartet (weiß nicht ob die Info wichtig ist)

Vielen dank schonmal für die Hilfe.

Geändert von ers (02.05.2010 um 16:02 Uhr)

Alt 02.05.2010, 23:17   #2
ers
 
Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ? - Standard

Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?



Hab nun Malwarebytes 2x durchlaufen lassen

1 mal folgendes Log:

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4059

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02.05.2010 18:39:32
mbam-log-2010-05-02 (18-39-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 115771
Laufzeit: 7 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Temp\Mbh.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

(Trojan.Downloader) -> Quarantined and deleted successfully.

2 x nach Neustart & Antivir Suchlauf (7x Treffer + Löschung)

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4059

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.05.2010 00:16:06
mbam-log-2010-05-03 (00-16-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 115231
Laufzeit: 7 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________


Geändert von ers (02.05.2010 um 23:23 Uhr)

Antwort

Themen zu Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?
adobe, antivir, antivir guard, avira, bho, browser, desktop, desktop verschwunden, einstellungen, festplatte, hkus\s-1-5-18, internet, internet explorer, logfile, neu aufsetzen, photoshop, plug-in, problem, realtek, rundll, senden, server, software, system, system neu, system neu aufsetzen, temp, trojan.downloader, virus, windows, windows xp, wireless lan




Ähnliche Themen: Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Trojan-Ransom.Win32.Blocker.cbsn & Trojan-Spy.Win.32.Zbot.nsur eingefangen -.-
    Plagegeister aller Art und deren Bekämpfung - 12.04.2014 (23)
  3. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  4. Trojan.Apppatch,Trojan.Agent.BVXGen und Trojan.Midhos in C:\Users\inet-kid\AppData,TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.09.2012 (35)
  5. Hilfe! Trojan.Small; Trojan.Sirefef; Rootkit.0Access; Trojan.Atraps.Gen2 auf meinem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (11)
  6. Trojan Downloader win32/renos.pp
    Log-Analyse und Auswertung - 03.06.2011 (36)
  7. trojan downloader : win32/renos.MQ mich hat es auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (20)
  8. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  9. PC verseucht mit Trojan.Renos?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (1)
  10. trojan downloader win 32/Renos.JW
    Log-Analyse und Auswertung - 17.07.2010 (26)
  11. Trojan Fraudpack, Trojan.Fakealert und tr/renos.ewc.11
    Plagegeister aller Art und deren Bekämpfung - 19.06.2010 (11)
  12. TR/Renos.178688.1' [trojan] gefunden.
    Plagegeister aller Art und deren Bekämpfung - 07.04.2010 (1)
  13. Trojan.Renos.PBR
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  14. trojan downloader win32 renos.jm
    Plagegeister aller Art und deren Bekämpfung - 30.12.2009 (15)
  15. Trojan:win32\renos.jm will nicht weggehen
    Log-Analyse und Auswertung - 30.11.2009 (11)
  16. Trojan.Renos.NTY
    Plagegeister aller Art und deren Bekämpfung - 21.06.2009 (8)
  17. Trojan-Downloader.Win32.Renos.AQ!K was nun?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2009 (10)

Zum Thema Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ? - Hallo, ich habe ein Problem, habe eine Datei runter geladen, bei der ich schon skeptisch war. Habe sie vorher mit Antivir überprüft, der schlug nicht an, also öffnete ich die - Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ?...
Archiv
Du betrachtest: Trojan.Renos.PFI und Trojan.DownLoader1.6583 eingefangen ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.