Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Proxy.Ranky.JB

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.05.2008, 01:05   #1
strawberry22
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Guten Abend (Morgen?),

habe heute auf meinem PC den Trojaner TR/Proxy.Ranky.JB mit antivir entdeckt. Eingefangen scheine ich ihn mir bei der Installation von Warcraft 3 TFT zu haben, da der Virus nur auftaucht wenn ich versuche das spiel zu starten (das alles aber direkt nach der Installation von der CD, ohne irgendwelche Patches oder sonstwas downgeloadet zu haben). Nach dem ich das Spiel wieder deinstalliert hatte fand Antivir nichts mehr. Probeweise hab ich dann nochmals versucht WC3 zu installieren, als nur RoC installiert war konnte man ohne Probleme das Spiel starten. Als ich das Erweiterungspack wieder installiert hatte tauchte auch der Virus wieder auf.

Anbei noch das HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44:01, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Michaela\Desktop\HiJackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4169 bytes


Meine Frage ist nun, ob es noch eine Möglichkeit gibt den Trojaner loszuwerden ohne kompletter Neuinstallation..


lg Michaela

Alt 24.05.2008, 02:35   #2
Killababe
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Hallo!!!

Hab genau das gleiche Problem. Sobald ich WC3 starten will, kommt die Trojaner-Meldung.

Ist im Temp-Ordner drinne und zwar heißt die Datei "SIntf.dll", die nur auftaucht, wenn das Spiel gestartet wird. Ansonsten ist sie nicht im Ordner.

Ich hab schon ein bisschen gegooglet und das gefunden
Trojaner TR/Agent.BYZ - Viren und andere Sicherheitsrisiken - Avira Support Forum

Letzten Jahr gabs wohl auch sowas...

Komischerweise, hatte ich vor ein paar Stunden noch problemlos gespielt und ohne das ich irgendwas (jedenfalls nicht, dass ich wüsste) verstellt habe und vorhin wieder spielen wollte, kam der Trojaner.

Ich weiß nur jetzt nicht genau, obs wieder so ein Fehler von AntiVir ist, oder diesmal wirklich einer?! Vor allem kann ich mich nicht mehr genau erinnern, wann Antivir geupdatet hat.

Hab auch ehrlich geagt keine Lust mein PC zu formatieren. Das wär das 3.mal in 2 Monaten.

Vor allem, kommts nur bei WC3. Hab schon anderes Spiel getestet.
__________________


Alt 24.05.2008, 02:58   #3
Doc Gonzo
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Hi,

Hatte vor paar Stunden beim starten von WC3-TFT auch den Alarm.
Ich spiel mit der Original-CD und der Alarm hängt auf jeden Fall mit dem Kopierschutz zusammen.

Ich geh bis auf weiteres mal von ner Falschmeldung aus
__________________

Alt 24.05.2008, 06:10   #4
nochdigger
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Moin

Zitat:
...und der Alarm hängt auf jeden Fall mit dem Kopierschutz zusammen.
Ich denke auch...

Aber besser die betroffene Datei mal hier
Submit your sample
mit verdacht auf Fehlalarm hochladen.
Benachrichtigung folgt innerhalb weniger Tage.

Bitte auch testen, ob nach einem Update von Antivir die Dateien weiterhin angemeckert werden.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 24.05.2008, 06:30   #5
Doc Gonzo
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Hab ich eben hochgeladen - werd hier wieder posten, sobald die Anfrage geklärt is!

Doc Gonzo


Alt 25.05.2008, 17:01   #6
juino
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Hallo,
Ich finde den Temp-Ordner nicht.Wo ist der?

Alt 25.05.2008, 17:15   #7
juino
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Und, ist es eine Falschmeldung?

Alt 25.05.2008, 17:15   #8
Doc Gonzo
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Hi!

Also standartmäßig lautet der Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

Schau mal im Explorer in Extras/Ordneroptionen.
Dort gibt es unter Ansicht:
"geschützte Systemdateien ausblenden" - das Häkchen musst deaktivieren und
"Versteckte Dateien und Ordner anzeigen" - da wählst Du "alle ...anzeigen"
Dann siehst Du diesen Temp Ordner

Aber ich würde mit der Neuinstallation noch warten.
Die Wahrscheinlichkeit, daß auf ner viele Jahre alten [kommerziellen] SpieleCD plötzlich ein Trojaner gefunden wird ist äußerst gering - und ich hab dieses Problem eben mit der Original-CD.

Ich hab die Datei zum überprüfen hochgeladen und werd hier Bericht erstatten sobald ich ne Antwort bekommen hab!

Alt 26.05.2008, 11:15   #9
panda-
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



Ich hab einfach hochgepatcht und danach erschien die Meldung nicht mehr. Eventuell liegt es an der CD in Verbindung mit den neusten Updates von Antivir. Vielleicht haben die etwas als Virus deklariert, was keiner ist. (Ab 1.21 kann man ohne CD spielen)

Alt 26.05.2008, 15:13   #10
Doc Gonzo
 
TR/Proxy.Ranky.JB - Standard

[geklärte Falschmeldung] AW: TR/Proxy.Ranky.JB



So, jetzt ist die analyse von avira fertig:


Zitat:
Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25026692 SIntfNT.dll 23.94 KB FALSE POSITIVE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
SIntfNT.dll FALSE POSITIVE

Die Datei 'SIntfNT.dll' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Der Fehler wurde bereits behoben - die Datei wird nicht mehr angemeckert!

Gruß
Doc Gonzo

Kann closed werden

Geändert von Doc Gonzo (26.05.2008 um 15:19 Uhr)

Alt 26.05.2008, 23:13   #11
strawberry22
 
TR/Proxy.Ranky.JB - Standard

TR/Proxy.Ranky.JB



hm, bin erst heute wieder heimgekommen, sind ja gute news

danke für die raschen antworten!

Antwort

Themen zu TR/Proxy.Ranky.JB
ad-aware, antivir, antivirus, avg, avira, bho, desktop, einstellungen, excel, firefox, frage, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, installation, internet, internet explorer, mozilla, mozilla firefox, rundll, software, starten, starten., system, trojaner, virus, windows, windows xp



Ähnliche Themen: TR/Proxy.Ranky.JB


  1. Samsung Monte will Proxy-Passwort, aber kein Proxy installiert
    Smartphone, Tablet & Handy Security - 16.06.2014 (2)
  2. Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder
    Log-Analyse und Auswertung - 12.04.2010 (39)
  3. win32.trojandropper.joiner und win32.trojanproxy.ranky
    Log-Analyse und Auswertung - 31.07.2009 (21)
  4. 'TR/Proxy.Ranky.JU' [trojan] Gefunden! Help!
    Plagegeister aller Art und deren Bekämpfung - 18.06.2008 (13)
  5. TR\Proxy.Ranky\JU
    Mülltonne - 10.06.2008 (0)
  6. Was ist das? Hilfe: TR/Proxy.Ranky.JU
    Mülltonne - 09.06.2008 (1)
  7. Trojan-Proxy.Ranky
    Plagegeister aller Art und deren Bekämpfung - 10.03.2008 (1)
  8. HILFE: "Win32:HLLW.Gavir:5" und "Trojan.Proxy.Ranky
    Log-Analyse und Auswertung - 12.01.2007 (4)
  9. TR/Proxy.Ho.OR.51.B
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (1)
  10. Proxy.Ranky.Gen & Trojan.Downloader.Obfuscated.N
    Plagegeister aller Art und deren Bekämpfung - 17.07.2006 (1)
  11. Ranky.DT / Sdbot.34992 / RBot.** + HJT-Log
    Log-Analyse und Auswertung - 26.04.2006 (2)
  12. Tr.Proxy.Ranky.16792
    Log-Analyse und Auswertung - 14.10.2005 (6)
  13. Wer kann mir helfen? Hab nen trojaner drauf TR/Proxy.Ranky.16792
    Log-Analyse und Auswertung - 04.10.2005 (3)
  14. Backdoor.Ranky / W32.Randex.gen / W32.Ronoper.Worm
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (2)
  15. Logfile of Hijackthis (Worm/SdBot.44128 und TR/Proxy.Ranky.AX Fund)
    Log-Analyse und Auswertung - 29.12.2004 (1)
  16. TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall
    Plagegeister aller Art und deren Bekämpfung - 17.11.2004 (1)

Zum Thema TR/Proxy.Ranky.JB - Guten Abend (Morgen?), habe heute auf meinem PC den Trojaner TR/Proxy.Ranky.JB mit antivir entdeckt. Eingefangen scheine ich ihn mir bei der Installation von Warcraft 3 TFT zu haben, da der - TR/Proxy.Ranky.JB...
Archiv
Du betrachtest: TR/Proxy.Ranky.JB auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.