|
Bitte auswerten - trojaner oder nicht? Hallo! Ich habe ein Problem seitdem ich ein Archiv in einem mail geöffnet habe... schön doof, ich weiss, aber es war kein Betreff oder Absender dabei und ich erwartete ein Archiv per mail. Naja, Antivir schlug Alarm, und zwar wegen Bagle.BB. Angeblich wurde dadurch die ausführung von dem Programm verhindert, aber anscheinend doch nicht... Habe die ganze Festplatte gescannt und es kamen zwei Meldungen wie "die Datei ??? (ich glaube winhost.exe) trägt die Signatur von Bagle" oder so ähnlich. Ausserdem wurden noch zwei verschiedene Trojaner gefunden, bin mir aber jetzt nicht sicher wie die heissen, aber die waren vorher NICHT da (ich scanne die Festplatte mindestens 3x die Woche und Antivir ist aktuell). Naja, angeblich konnte Antivir alles lösen, löschen oder reparieren, allerdigs war der Windows - update danach desaktiviert, musste ihn manuell wieder aktivieren (in services.msc). Ist also jetzt alles ok oder sollte ich neu installieren (würde mich ärgern...)? Hier der logfile (Windows ist auf spanisch): ----------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:33:45, on 06/03/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\Archivos de programa\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\AVPersonal\AVGUARD.EXE C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\WinRAR\WinRAR.exe C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\Rar$EX00.500\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Archivos de programa\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_06\bin\npjpi141_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098900005359 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe O23 - Service: LogoMedia TranslateDotNet Server - LogoMedia Corporation - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe -------------------------------------- Danke schonmal ;) |
@Yustea lade escan download anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman |
Escan meldet folgendes: File C:\System Volume information\_restore{2D8E9E52-414E-4491-B8DA-918F2AD19CE0}\RP54\A0029404.exe infected by "Email-Worm.Win32.Bagle.pac" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{2D8E9E52-414E-4491-B8DA-918F2AD19CE0}\RP54\A0029406.exe infected by "Email-Worm.Win32.Bagle.bb" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-57989841-484763869-725345543-1003\Dc421.zip tagged as not-a-virus:Joke.BadDay. No Action Taken. Also der Mist noch drauf :mad: Und jetzt? :( |
hallo den backdoor hast du eingefangen: http://www.antiviruslab.com/descript...216918&lang=de das heisst neu aufsetzen: http://www.trojaner-board.de/showthread.php?t=12154 in diesem link findest du auch infos zu backdoors |
Na toll :koch: Gibt es irgendwo eine detallierte Anleitung wie das gehen soll? Die links sind nicht wirklich nützlich, allgemeine Ratschläge wie "Dann empfiehlt es sich die Festplatte, die das Betriebssystem enthielt, vorher zu formatieren, deren Bootsektor zu überschreiben und anschließend das Betriebssystem neu zu installieren" bringen mich jetzt nicht wirklich weiter :crazy: (Vor allem steht danach "Man sollte aber wissen, was man tut." ;) ) Ich weiss jetzt nicht so ganz wo ich anfangen soll, vor allem mit der Datenkopie, k.a. wass ich jetzt kopieren soll und was nicht um den Trojaner nicht mitzukopieren... Und die Programme, muss ich die danach alle wieder neu besorgen (herunterladen, CD finden..), oder kann ich die irgendwie auf CD übertagen? Blöde Fragen, aber ehrlich keine Ahnung... Danke trotzdem :) |
Hab es schon gefunden, ist ok :dummguck: (http://www24.brinkster.com/thorsten1...ieren/win2000/) LG :) |
In dem Fall seh ich das mit dem Neuaufsetzen (ausnahmsweise) anders. Die Ausführung wurde anscheinend durch das AV-Programm verhindert. Und das es sich in: Zitat:
Darum müsste das Deaktivieren der Systemwiederherstellung reichen (nach Neustart wieder aktivieren) Start/Systemsteuerung/System/Systemwiederherstellung/Systemwiederherstellung deaktivieren (Systemwiederherstellungspunkte gehen dabei verloren) Neustart Außerdem den Papierkorb leeren. Erneut scannen. Falls die Datei dann immer noch im Papierkorb (RECYCLER\S-1-5-21-57989841-484763869-725345543-1003\Dc421.zip) ist, dann mit Total Commander diesen öffnen und die Datei löschen...oder besser alle. Einstellungen im Total Commander: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok P.S. Erschlagt mich nicht, falls ich mich mit meiner Einschätzung geirrt habe. |
@Feierfox: nach dem desaktivieren der Systemwiederherstellug findet eScan nichts mehr, weder diesen komischen "not-a-virus" im Papierkorb (geleert), und auch keine von den beiden Bagle - versionen. Heisst das ich kann mir das Neuaufsetzen sparen (wäre schön...) oder lieber doch, zur Sicherheit? |
Wenn Du so fragst.... Klar, für die Sicherheit wäre das Neuaufsetzen das Beste. Aber, falls er tatsächlich nicht aktiv wurde, auch keine ungewöhnlichen Kontobewegungen stattfanden :dummguck: und sämtliche Passwörter geändert wurden, würde ich nicht neu aufsetzen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:52 Uhr. |
Copyright ©2000-2024, Trojaner-Board