Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Wahrscheinlich Trojaner auf PC (https://www.trojaner-board.de/90898-wahrscheinlich-trojaner-pc.html)

ShinKudo92 17.09.2010 21:45
Wahrscheinlich Trojaner auf PC
 
Hallo,
Ich habe vor 1 Stunde "leider" in dem Programm eMule einen Extrahierende Ordner runtergeladen. ( Es sollten Noten sein )

Ich hab diese geöffnet und sah eine Systeminformationsdatei von meinem PC ( Daten des PC´s ) UND eine ausführbare Datei.
Ich habe NUR Systeminformationsdatei geöffnet, ABER nicht die ausfürbare Datei.

Ich bin zurückgegagen und habe diesem Temp Ordner, wo die Dateien gespeichert werden, mit Avira durchsucht. Da kam EINE Trojaner Meldung:
'TR/Genome.bjgv' [trojan].
Es sind aber 3 Funde.
Die Datei wurde in der Quarantäne verschoben UND habe diese auch danach gelöscht. Hoffe es wahr richtig.

Danach habe ich nochmal 2 volständige Systemüberprüfungen mit Avira und MalwareBytes gestartet. Es wurde NICHTS gefunden!

So, hoffe es ist nichts mehr auf dem PC drauf.
Vielen Dank schon mal !!

Hier die Avira Meldung und Hijackthis File:

cosinus 20.09.2010 17:21
Hallo,

Zitat:
ch habe vor 1 Stunde "leider" in dem Programm eMule einen Extrahierende Ordner runtergeladen. ( Es sollten Noten sein )
Was bitte soll ein extrahierender Ordner sein? Noten? :wtf:

Zitat:
Die Datei wurde in der Quarantäne verschoben UND habe diese auch danach gelöscht. Hoffe es wahr richtig.
D.h. Du hast es nicht ausgeführt und direkt nach dem Fund gelöscht? wenn ja, liegt keine Infektion vor.

ShinKudo92 20.09.2010 18:30
Hallo,
danke für die Antwort!

Hmm, einen Ordner den man extrahieren muss, damit alle dateien zu sehen sind.
Ja, Notenblätter ( Sheets ) in PDF Format.

Die Exe. Datei habe ich nicht ausgeführt. Nur die komische Systemabbild Datei.
Ich habe gelesen, dass welche Trojaner nach dem löschen sich wieder neuinstallieren. Deshalb die Frage, ob die sich irgendwo versteckt haben.

Hmm, grade habe ich mal HiJackThis gestartet und am Anfang kam die Meldung:
hxxp://img827.imageshack.us/f/unbenanntvsv.jpg/

UND wenn ich einen System Scan mache kommt das:
hxxp://img412.imageshack.us/f/unbenannt2qe.jpg/

Was kann das sein? Habe gestern mein Konto zum Standart-Konto geändert.
Aber die Meldung kommt auch wenn ich HiJackThis als Administrator starte!

Und wo ich schonmal bei HiJackThis bin, noch eine kleine Frage:
Kann ich diese 3 Einträge bedenkenlos löschen?
hxxp://img213.imageshack.us/f/unbenannt3f.jpg/

Danke schonmal!

cosinus 20.09.2010 18:43
Zitat:
Hmm, einen Ordner den man extrahieren muss, damit alle dateien zu sehen sind.
ich will nicht klugshicen, aber allgemein sind diese Dateien als komprimierte Archive, Containerdateien, bekannt. Also sowas wie zB ZIP- oder RAR-Dateien.

Zitat:
Die Exe. Datei habe ich nicht ausgeführt. Nur die komische Systemabbild Datei.
Ich habe gelesen, dass welche Trojaner nach dem löschen sich wieder neuinstallieren. Deshalb die Frage, ob die sich irgendwo versteckt haben.
Es gibt Schädlinge, die sich tief im System vergraben, weil sie ja nicht entdeckt werden wollen. Das können sie aber erst, wenn sie aktiv werden und dazu müssen sie ausgeführt werden. Wird kein Schädling ausgeführt, gibt es auch keine Infektion.

Zitat:
Aber die Meldung kommt auch wenn ich HijackThis als Administrator starte!
Vergiss Hijackthis, das Teil versagt v.a. bei den modernen 64-Bit-Windowsversionen völlig.
Da Du den Schädling nicht ausgeführt hast, seh ich auch keinen Anlass für weitere Analysen.

ShinKudo92 20.09.2010 19:31
Ja stimmt, war ein komprimierter Ordner. :)

HiJackThis benutze ich schon 2 Jahre. Eigentlich kamen noch nie irgendwelche Probleme. Wahrscheinlich liegt es an dem Standart-Konto.

Ach und wollte aber dennoch wissen, ob ich die 3 Einträge löschen kann? ( 3. Screen )

Danke !

MfG

DanSkorksi 21.09.2010 08:33
Guten Morgen!
Ich habe ein ähnliches Problem. Programme wie der Java Updater wollen täglich ein Update und die Internetverbindung geht öfter on und off, was mich stutzig macht. Über Hijackthis habe ich schon den Java-Update-Prozess abgeschaltet. Im Ordner Java-Update gibt es zwei Update-Exen? Ist das ein Indiz für nen Trojaner? Möglicherweise liegt das Problem auch woanders? Hier mal mein Logfile. Ahso, firefox wollte eben auch updaten. Allerdings geschah die Anfrage anders als zuvor oder ich werde langsam paranoid.:-D
Schonmal besten Dank.
Gruß Dan

DanSkorksi 21.09.2010 08:34
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:22:43, on 21.09.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18498)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Users\Jessi\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4F90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2011\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\ieshow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2011\bdagent.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2373656904-3574941443-1944796846-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Daniel')
O4 - S-1-5-21-2373656904-3574941443-1944796846-1001 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Daniel')
O4 - S-1-5-21-2373656904-3574941443-1944796846-1001 Startup: OneNote Inhaltsverzeichnis.onetoc2 (User 'Daniel')
O4 - S-1-5-21-2373656904-3574941443-1944796846-1001 User Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'Daniel')
O4 - S-1-5-21-2373656904-3574941443-1944796846-1001 User Startup: OneNote Inhaltsverzeichnis.onetoc2 (User 'Daniel')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Emma Device Management (EmmaDevMgmtSvc) - Sony Ericsson Mobile Communications - C:\Program Files\Common Files\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe
O23 - Service: Emma Update Management (EmmaUpdMgmtSvc) - Sony Ericsson Mobile Communications - C:\Program Files\Common Files\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (Updatesrv) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8710 bytes
--- --- ---

cosinus 21.09.2010 10:52
Bitte mach - wie jeder andere hier auch - für Dein Anliegen einen eigenen Strang auf! Nur so ist sichergestellt, dass jedem übersichtlich und indivuell geholfen werden werden!

ShinKudo92 21.09.2010 14:00
Hi, wollte nur kurz erwähnen, dass die Meldung von HiJackThis im Administrator-Konto nicht vorkommt. :)

cosinus 21.09.2010 17:42
Zitat:
Zitat von ShinKudo92 (Beitrag 570615)
Hi, wollte nur kurz erwähnen, dass die Meldung von HiJackThis im Administrator-Konto nicht vorkommt. :)
Das ist völlig logisch und folgerichtig, da Windows Vista die UAC hat und man solche Tools immer per Rechtsklick => als Admin ausführen muss.
Ändert aber nichts daran, dass man heutzutage mit Hijackthis fast nichts mehr anfangen kann, da etwaige Schädlinge in Hijackthis-Logs nicht mehr ersichtlich sind.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131