Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Fund

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.02.2005, 19:53   #1
Zrubsel
 
Trojaner Fund - Standard

Trojaner Fund



So, ich mal wieder...

Gestern klick ich mich so durch die Verzeichnisse, um überflüssige Dinge zu löschen, da schlägt mein Virenscanner an:

[FUND!] Ist das Trojanische Pferd TR/PSW.Banpaes.2

War in einer Datei enthalten, welche ich bislang noch NICHT ausgeführt hatte (wollte ich zwar mal installieren, aber mangels Zeit... und dann hab ichs vergessen - gut so)
Die betroffene Datei hab ich dann auch umgehend gelöscht.

Danach HijackThis im abgesicherten Modus:

Logfile of HijackThis v1.99.0
Scan saved at 20:06:03, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Opera75\opera.exe
C:\Dokumente und Einstellungen\Network\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE

Aber auf den ersten Blick seh ich auch nichts auffälliges...
Danach noch EScan laufen lassen (auch im abgesicherten Modus)

Meldung:
Fri Feb 18 20:36:18 2005 => File C:\Dokumente und Einstellungen\Network\Desktop\pegasus412.exe tagged as

not-a-virus:Tool.Win32.Reboot. No Action Taken.

So, das sind alle Infos, die ich im Moment vom system bekommen kann, will noch ne Prozessliste erstellen, geht aber momentan schlecht, hat mir mein Admin verboten... *g* (Ich hab mir mittlerweile so viel verboten, das ich als sogar als Admin manche sachen nur mit Tricks freigeben muss... *lach*)

Was meint ihr? Trojaner früh genug erkannt?
und was will mir Tool.Win32.Reboot sagen?

Fragen über Fragen...

So Long... Zrubsel


Edit: Das HijackThis Logfile ist natürlich NICHT gekürzt, auch, wenn es den Anschein erwecken sollte...
__________________
Nur weil du keine Paranoia hast, heisst das noch nicht, das sie NICHT hinter dir her sind...

Geändert von Zrubsel (19.02.2005 um 21:05 Uhr) Grund: Nachtrag

Alt 20.02.2005, 10:36   #2
chaosman
 
Trojaner Fund - Standard

Trojaner Fund



@Zrubsel

lasse diese datei pegasus412.exe
doch mal online überprüfen
http://virusscan.jotti.org/de
und poste das ergebnis
poste auch bitte ein HJT logfile aus den normalen modus
chaosman
__________________

__________________

Alt 20.02.2005, 13:39   #3
Zrubsel
 
Trojaner Fund - Standard

Trojaner Fund



Sooo... heute nochmal escan aktualisiert und laufen lassen...



Sun Feb 20 13:34:17 2005 => File E:\Musi\f\pegasus412.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.Sun Feb 20 13:39:44 2005 => File E:\PMAIL\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:50:841 :ModuleName = C:\bases\mwavscan.com
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:50:841 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:54:266 :Priority : NORMAL
[msvLclnt.dll] [0x00000380] 20/02/2005 12:35:55:007 :VirusCount = 118921 Latest Date = 2005/02/20
[msvLclnt.dll] [0x000003fc] 20/02/2005 12:45:39:377 :[00000001] File C:\Dokumente und Einstellungen\Network\Desktop\pegasus412.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000003fc] 20/02/2005 12:47:15:545 :[00000001] File C:\Dokumente und Einstellungen\Network\Desktop\Zeug\aida32ee_393.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862
[msvLclnt.dll] [0x000003fc] 20/02/2005 12:47:57:716 :[00000001] File C:\Dokumente und Einstellungen\Network\Desktop\Zeug\w32-421c.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000003fc] 20/02/2005 12:56:11:195 :[00000001] File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010575.dll infected by not-a-virus:AdWare.TimeSink.c
[msvLclnt.dll] [0x000003fc] 20/02/2005 12:56:16:403 :[00000001] File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010682.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862
[msvLclnt.dll] [0x000003fc] 20/02/2005 13:34:17:052 :[00000001] File E:\Musi\f\pegasus412.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000003fc] 20/02/2005 13:39:44:033 :[00000001] File E:\PMAIL\wpmmapi.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000003fc] 20/02/2005 13:53:32:314 :VirusCount = 118921 Latest Date = 2005/02/20
[msvLclnt.dll] [0x00000380] 20/02/2005 13:56:36:398 :VirusCount = 118921 Latest Date = 2005/02/20

danach hab ich die datei pegasus412.exe bei jotti durchlaufen lassen:

File: pegasus412.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (1.61 seconds taken)
Avast
No viruses found (2.28 seconds taken)
AVG Antivirus
No viruses found (0.79 seconds taken)
BitDefender
No viruses found (1.06 seconds taken)
ClamAV
No viruses found (1.29 seconds taken)
Dr.Web
not a virus Tool.Reboot.3584 (1.98 seconds taken)
F-Prot Antivirus
No viruses found (0.29 seconds taken)
Fortinet
No viruses found (1.61 seconds taken)
Kaspersky Anti-Virus
not-a-virus:Tool.Win32.Reboot (2.09 seconds taken)
mks_vir
No viruses found (1.00 seconds taken)
NOD32
No viruses found (0.93 seconds taken)
Norman Virus Control
No viruses found (0.34 seconds taken)

Beim suchen der log datei allerdings meldete mein AV guard allerdings wieder den oben genannten trojaner (war wohl noch ne Kopie auf der Platte :-/)

Schmeiss ich auch gleich weg, nachdem jotti fertig ist...

neuestes HijackThis log:

Logfile of HijackThis v1.99.0
Scan saved at 12:09:29, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Network\Eigene Dateien\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] e:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33324835-01E5-4156-9E6D-C4006D8DCF3E}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE

Ich seh schon: je genauer man sucht, desto mehr findet man auch...


gruss, Zrubsel


Edit: Warum hat escan den o.g. Trojaner eigentlich nicht gefunden?
__________________
__________________

Geändert von Zrubsel (20.02.2005 um 13:41 Uhr) Grund: Frage hinzugefügt

Alt 20.02.2005, 14:46   #4
chaosman
 
Trojaner Fund - Standard

Trojaner Fund



@Zrubsel
File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010575.dll infected by not-a-virus:AdWare.TimeSink.c
[msvLclnt.dll] [0x000003fc] 20/02/2005 12:56:16:403 :[00000001] File C:\System Volume Information\_restore{1CD3DAF4-7648-4276-8E91-06ABF0837F89}\RP48\A0010682.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862

systemeiderherstellung deaktivieren, neu booten, systemwiederherstellung aktivieren.

Edit: Warum hat escan den o.g. Trojaner eigentlich nicht gefunden?
kein avscanner findet alles.

http://www3.ca.com/securityadvisor/p...x?id=453083102

ist dein logfile in den normalen modus erstellt worden?

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Trojaner Fund
abgesicherten modus, adobe, antivir, antivir update, avg, bho, dateien, desktop, einstellungen, escan, explorer, hijack, hijackthis, hijackthis logfile, internet, internet explorer, löschen, opera, programme, scan, system, system32, tan, trojaner, update, windows, windows xp



Ähnliche Themen: Trojaner Fund


  1. Fund: Loader.jar, Fund: EXP/Java.Ternewb.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2015 (17)
  2. Win 7 Resultate nach Rootscan Spybot, Microsoft safety scan, AVG Meldung Fund 1) MalSign.generic.712 Fund 2) MalSign.OpenCandy. 7AF
    Log-Analyse und Auswertung - 23.01.2015 (21)
  3. Thunderbird Trojaner Fund
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (17)
  4. AVIRA-Fund: ADWARE/YONTOO.GEN2 und ESET-Fund: Win32/StartPage.OPH trojan
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (12)
  5. Trojaner Fund !
    Plagegeister aller Art und deren Bekämpfung - 23.08.2010 (24)
  6. dnschanger, fakealert, kein Fund mit G data, Fund mit antimalwarebytes
    Log-Analyse und Auswertung - 07.06.2010 (11)
  7. trojaner fund - TR/Agent.2370715
    Log-Analyse und Auswertung - 22.02.2010 (1)
  8. Trojaner fund
    Plagegeister aller Art und deren Bekämpfung - 11.11.2009 (7)
  9. Trojaner-Fund: TR/Trash.Gen
    Plagegeister aller Art und deren Bekämpfung - 15.07.2009 (1)
  10. Trojaner Fund: CIA....
    Mülltonne - 25.11.2008 (0)
  11. Trojaner TR/Gendal.2001550 Fund!
    Plagegeister aller Art und deren Bekämpfung - 21.07.2008 (1)
  12. Trojaner Fund : TR/Dldr.Agent.drw
    Log-Analyse und Auswertung - 23.10.2007 (1)
  13. [Trojaner] Fund in Intel.dll !
    Log-Analyse und Auswertung - 28.06.2007 (3)
  14. Trojaner Fund
    Plagegeister aller Art und deren Bekämpfung - 15.04.2007 (1)
  15. trojaner fund
    Plagegeister aller Art und deren Bekämpfung - 09.04.2006 (1)
  16. Trojaner-Fund
    Log-Analyse und Auswertung - 23.09.2005 (3)
  17. Trojaner Fund
    Plagegeister aller Art und deren Bekämpfung - 06.10.2003 (1)

Zum Thema Trojaner Fund - So, ich mal wieder... Gestern klick ich mich so durch die Verzeichnisse, um überflüssige Dinge zu löschen, da schlägt mein Virenscanner an: [FUND!] Ist das Trojanische Pferd TR/PSW.Banpaes.2 War in - Trojaner Fund...
Archiv
Du betrachtest: Trojaner Fund auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.