Habe ein Problem mit dem TR/Spy.Banker.apt.1! Meine AntiVir hat mir diese Info ausgespuckt. Ich habe daraufhin den Namen in Google eingegeben und bin bei euch gelandet. Ich hoffe eine/r von eich kann mir vielleicht helfen. Habe mich ein bisschen durch die Foren geklickt und habe gesehen, dass diese "Log-File" erwünscht ist. Habe mir daraufhin, dass Programm runtergeladen und nach Anwesiung ausgeführt. Jetzt poste ich mal die Log-File und hoffe, dass mir jemand helfen kann........
Bin selbst nicht so der PC-Spezialist und bitte um Hilfe.
Gruß Florian



Logfile of HijackThis v1.99.1
Scan saved at 13:44:34, on 17.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\system32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [system32] C:\WINDOWS\system32\system32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hallo,

das hier könnte er sein:

C:\WINDOWS\system32\system32.exe

lass diese datei bitte bei jotti onlinescannen und teile das ergebniss hier mit.
link zu jotti in meiner signatur..
falls es nicht klappt beende den prozess im taskmanager und versuche es wieder.

Finde im Ordner System32 keine Datei die System32.exe heisst. Es gibt nur System....????

Habe die Datei wohl mit AntiVir in das Quarantäneverzeichniss verschoben. Habe bei AntiVir im Ordner "infected" die Dateien system32.exe.vir und system32.exe.001. Soll ich die mal hochladen in das Programm?

dann arbeite bitte Diese anleitung punkt für punkt und in ruhe ab.
wichtig:
sprache auf englisch lassen sonst klappt es nicht!!
les es dir vor beginn richtig durch..
teile zum schluss das ergebniss der find.bat hier mit

Das kommt raus wenn ich die Datei SYSTEM32.EXE.001 online bei Jotti scannen lasse.... Soll ich die andere auch noch scannen lssen?

Datei: SYSTEM32.EXE.001
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PETITE

AntiVir Trojan/Spy.Banker.apt.1 gefunden
ArcaVir Trojan.Spy.Banker.Apt gefunden
Avast Win32:Banker-ACZ gefunden
AVG Antivirus Keine Viren gefunden
BitDefender GenPack:Trojan.Banker.Delf.E63D83CD gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Banker.1447 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Spy/Banker gefunden
Kaspersky Anti-Virus Trojan-Spy.Win32.Banker.apt gefunden
NOD32 probably a variant of Win32/Spy.Banker.AHY gefunden (mögliche Variante)
Norman Virus Control W32/Banker.MCU gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Spy.Win32.Banker.apt gefunden

Habe nebenher auch das Programm MWAV runtergeladen, aber in der Anleitung steht ich soll die kavupd.exe ausführen und die gibt es gar nicht....
Sch..... was jetzt?
tut mir leid, dass das so schwierig mit mir ist.

also ich muss nun sagen das mir dieser trojnaer nun nix sagt?
ich weiss nicht ob es spyware ist oder sich nur als spyware tarnt..

was heisst das für mich? wie bekomme ich das Ding von meinem PC runter?

nur keine panik bekommen..
musste mir grade mal hilfe holen..
wirst gleich wieder was hören,keine angst..

Hier noch die andere Datei aus dem Quarantäneverzeichnis:

SYSTEM32.EXE.VIR
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PETITE

AntiVir Trojan/Spy.Banker.apt.1 gefunden
ArcaVir Trojan.Spy.Banker.Apt gefunden
Avast Win32:Banker-ACZ gefunden
AVG Antivirus Keine Viren gefunden
BitDefender GenPack:Trojan.Banker.Delf.E63D83CD gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Banker.1447 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Spy/Banker gefunden
Kaspersky Anti-Virus Trojan-Spy.Win32.Banker.apt gefunden
NOD32 probably a variant of Win32/Spy.Banker.AHY gefunden (mögliche Variante)
Norman Virus Control W32/Banker.MCU gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Spy.Win32.Banker.apt gefunden

hier haste mal infos zu dem teil Bitte

Kann zwar nicht so viel damit anfangen - hört sich aber nicht so gut an!!! Mein Online-Banking sollte ich wohl erstmal nicht nutzen, oder?

so also nach rücksprache rate ich dir in diesem fall dein system neu aufzusetzen und ordentlich abzusicheren.
desweiteren bitte sämtliche passwörter de auf dem pc sind ändern.
vor allem die des onlinbanking..
wäre sehr wichtig..
folge zum Neuaufsetzen dem link in meiner signatur dort ist alles punkt für punkt beschrieben

Das heisst also komplett formatieren? So ein Scheiss!!! Gut wenn ihr meint, dass das die beste Lösung ist, dann ist es wohl so. Wi kann ich mich davor sichern, dass sowas nicht wieder passiert? Gibt es irgendeine Firewall, die zu empfehlen ist?