|
Trojaner lässt sich nicht entfernen Hallo, nachdem mir gestern beim Besuch meiner Homebanking-Seite nach dem Einloggen eine Phishin-Seite angezeigt wurde, die mich aufforderte, 30 TANs einzugeben, habe ich meine Festplatte mit Antivir gescannt, da es mir auch mit neu Laden nicht möglich war, die Phishin-Seite wegzubekommen. Antivir fand aber nichts. Danach bin ich mit Adaware drüber gegangen. Adaware hat zwei Sachen gefunden: WIN32.backdoor.agent (Virus) und WIN32.Trojanspy.peed (Malware) Adaware ist es nicht möglich, den Virus und den Tronaer zu entfernen. Nach jedem Neustart des Systems ist beides wieder da. Über unseren 2. PC habe ich erst einmal die Daten für das Online-Banking geändert. Ich habe sowieso vor, meinen PC in den nächsten Tagen zurückzusichern, da ich noch ein anderes Problem habe. Aber ich würde halt trotzdem gern verstehen, wo das Trojaner-Problem liegt und wie ich es ohne Rücksichern beheben kann. Man wird ja von solchen Sachen auch nicht dümmer ;) . Ich poste mal mein Logfile, vielleicht kann ja damit jemand etwas erkennen. Danke für eure Hilfe Sterntaler ---------------------------------------------------------------- Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Hallo Sterntaler Wenn du mit diesem Rechner Onlinebanking machst, muss ich dir raten ihn Neu aufzusetzen. Du hast da, unter anderen einen ganz Fiesen Trojaner drauf. F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe Und vergiss im Anschluss nicht, deine Passwörter zu ändern. |
Was bedeutet das F2 und woran erkenne ich, dass das ein Trojaner ist? Sorry für die Neugier, aber wenn ich wegen einer solchen Nervensäge meinen PC zurücksichern muss, dann möchte ich auch etwas dabei lernen ;) . Kann es Probleme geben, wenn ich jetzt meinen Mailordner von Pegasus und meine Favorite sichere? (sind ja alles keine exe-Dateien) Reicht es, wenn ich die C-Partition, auf der sich das Betriebssystem befindet, zurücksichere? Meine eigenen Dateien sowie Bilder sind auf einer anderen Partition, dann muss ich mich dort um nichts kümmern. |
So, ich habe zurückgesichert und noch einmal einen Logfile erstellt, nun ist diese F2-Zeile nicht mehr dabei. Ich kopiere ihn mal hier hinein, vielleicht kann ihn sich noch einmal jemand anschauen und mir sagen, ob es nun in Ordnung zu sein scheint. Vielen Dank Sterntaler ----------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:33:46, on 08.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\TuneUp Utilities\MemOptimizer.exe C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe C:\Programme\ATI Multimedia\main\ATIDtct.EXE C:\Programme\ShortCut\ShortCut.exe C:\Programme\Internet Explorer\iexplore.exe C:\TEMP\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\main\ATIDtct.EXE O4 - Global Startup: ShortCut.lnk = C:\Programme\ShortCut\ShortCut.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - https://www-secure.symantec.com/techsupp/asa/ctrl/tgctlsi.cab O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/tgctlsr.cab O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win/QuickTimeInstaller.exe O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/1119/defaults/activex/ImageUploader3.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe |
Die Datei Ntos.exe ist ein Backdoor Trojaner. Dieser ist hier auch schon öfters aufgetreten. Er stellt halt einiges auf dem Rechner um, so dass man nicht mehr weis was alles geändert wurde. Und wie ich schon beschrieben habe, wenn mit dem PC Onlinebanking gemacht wird, sollte man auf eine Reinigung allein nicht vertrauen. Das mit der Sicherung der nichtausführbaren Dateien geht wohl in Ordnung. Vor dem zurückkopieren aber mit einem guten AVP scannen. Und nein, es reicht nicht, die C-Partition zu Reinigen. Es müssen alle Partitionen Formatiert werden. Am besten die Partitionen neu erstellen. |
Zitat:
Neuaufsetzen entsprechend dieser Anleitung Wenn du einen zweiten Rechner hast, kannst du dir inzwischen mal die Seite anschauen ntos.exe ein Virus ein Tag « Data Travelers-Blog zum Zeitvertreib oder einfach mal Googlen nach "ntos.exe" |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board