Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Silentbanker P

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.03.2009, 21:09   #1
LOTICHEN
 
Silentbanker P - Standard

Silentbanker P



Hallo Zusammen,

bin gaaanz neu und hoffe ich mach das jetzt alles richtig!?

ich habe kürzlich einen SILENTBANKER P von Antivir angezeigt bekommen und ihn direkt in Quarantäne gesteckt und die befallene Datei gelöscht!

Nunbringt er mir seit dem beim hochfahren die Meldung das er in Micromedia eine DLL nicht findet. Das sollte die Datei denn wohl sein, soweit ja wahrscheinlich nicht verkehrt!?

Erneuten Alarm gab es nicht, ich habe aber auch gelesen das Silentbanker die "MEDIAPLAYER" ein wenig aushebelt bzw. das abspielen von Mediadateien nicht mehr richtig funktioniert!?

Daher gehe ich nun davon aus das ich immer noch befallen bin. Und die gelesenen Aussagen sind ja dann doch eher:
SETZ NEU AUF!?

ich poste nun mal mein HJT Logfile:


Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:50, on 17.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Search Settings\SearchSettings.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSoft.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\Macromedia\Common\69e4801a1.dll""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\69e4801a1.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 5724 bytes
Hoffe das ist so I.O. und mir kann jemand sagen ob hier was falsch läuft!?

Vielen Dank im Vorraus

Lotichen

Alt 17.03.2009, 21:25   #2
erty
 
Silentbanker P - Standard

Silentbanker P



Der TR/Silentbanker.P hates auf Kreditkarten- und Kontodaten abgesehen. Es gibt mehrere Varianten davon, einmal als midi eintrag oder im macromedia-player.

wenn du 100% sicher sein möchtest kommst du um ein Neuaufsetzen deines Systems nicht herum.

sämtliche Passwörter ändern, aber nicht vom verseuchten PC

--> Daten sichern und FP richtig formatieren.

edit:

du kannst ja diese mal bei jotti oder virustotal hochladen.
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\USERNAME\Anwendungsdaten\Macromedia\ Common\69e4801a1.dll""
__________________


Alt 17.03.2009, 22:35   #3
LOTICHEN
 
Silentbanker P - Standard

Silentbanker P



Hallo Erty,

Danke für die Antwort!
Die Datei existiert nicht mehr bzw. befindet sich in meinem Antivir Verzeichnis, mit einigen anderen DLL's die ebenfalls als SB erkannt wurden!!!
Diese Dateien sind alle am 08.03 in Quarantäne gesteckt!!!

Ich mache kein Onlinebanking und auch keine Kreditkartenzahlungen, allerdings ist es schon doof wenn man das Gefühl hat das alle Passwörter die irgendwo benutzt werden bekannt sind!!!

Kann es denn sein das ich es früh genug gemerkt habe, der Rechner war soweit ich weiss OFFLINE zum Zeitpunkt des Fundes!
Ich deaktiviere das Netzwerk immer bevor ich runterfahre so dass beim hochfahren erst mal gescannt wird und ich dann erst das Netzwerk wieder aktiviere!!

Gruß

Lotichen
__________________

Alt 18.03.2009, 18:59   #4
erty
 
Silentbanker P - Standard

Silentbanker P



Hallo LOTICHEN,

wir können natürlich versuchen deinen PC zu säubern, aber 100%-ige Sicherheit kann ich dir nicht versprechen.

1.) Avira auf den neuesten Stand bringen und mit folgenden Einstellungen Aggressive Einstellungen scannen und den bericht posten.

2.) Mit der Wiederherstellungskonsole von der Windows Orginal CD booten und im windows/system32 Ordner nach Dateien mit der endung .cpx suchen und diese posten.

Geändert von erty (18.03.2009 um 19:07 Uhr)

Antwort

Themen zu Silentbanker P
adobe, antivir, antivirus, avira, bho, datei gelöscht, dll, einstellungen, explorer, gelöscht, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, messenger, microsoft, neu, programme, rundll, search settings, senden, softonic, softonic deutsch toolbar, software, solution, sp3, system, windows, windows xp



Ähnliche Themen: Silentbanker P


  1. Silentbanker P
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (0)
  2. TR/Silentbanker.P
    Plagegeister aller Art und deren Bekämpfung - 10.03.2009 (12)
  3. Silentbanker
    Log-Analyse und Auswertung - 10.12.2008 (4)
  4. Silentbanker
    Mülltonne - 04.12.2008 (0)
  5. Silentbanker
    Log-Analyse und Auswertung - 01.12.2008 (0)
  6. Silentbanker.N - bin ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (1)
  7. Silentbanker ist tot !
    Plagegeister aller Art und deren Bekämpfung - 23.11.2008 (5)
  8. Silentbanker/I wird zu Silentbanker/J
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (0)
  9. TR/Silentbanker.J
    Plagegeister aller Art und deren Bekämpfung - 29.10.2008 (7)
  10. TR/Silentbanker.H
    Plagegeister aller Art und deren Bekämpfung - 29.10.2008 (6)
  11. Silentbanker/G
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (4)
  12. TR/Silentbanker.J
    Plagegeister aller Art und deren Bekämpfung - 26.10.2008 (7)
  13. TR/Silentbanker.k
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (1)
  14. Silentbanker.G
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (7)
  15. TR/silentbanker E
    Log-Analyse und Auswertung - 12.10.2008 (0)
  16. TR/Silentbanker.F
    Plagegeister aller Art und deren Bekämpfung - 07.10.2008 (4)
  17. TR/Silentbanker.E
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (5)

Zum Thema Silentbanker P - Hallo Zusammen, bin gaaanz neu und hoffe ich mach das jetzt alles richtig!? ich habe kürzlich einen SILENTBANKER P von Antivir angezeigt bekommen und ihn direkt in Quarantäne gesteckt und - Silentbanker P...
Archiv
Du betrachtest: Silentbanker P auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.