TR/Spy.Banker.SO.1 :dummguck: Hallo Guten Tag, Seit einiger Zeit meldet mir AntiVIr immer wieder Dateien, die der Tojaner TR/Spy.Banker.SO.1 sein sollen. Komischerweise unter anderem auch mein Tool "SpyInstall", den ich auf Trojaner-Info gefunden und installiert hatte und auch meinen Pfad, auf dem ich die downloads der Viren- und Wurmscanner abgespeichert habe. Ich kann diesen Trojaner (?) aber in keiner Liste bei Euch finden und auch keinen Tool zur Enfernung dieses Trojaners. Vielleicht hat jemand eine Idee?? (Meine installierten Abwehr Programme sind AntiVir, Spybot, AdAware und SpySubtract) Bitte setzt bei Euren Antworten nicht voraus, daß ich ein super Computer-Profi bin und schreibt daher eine eventuelle Antwort etwas mehr "für Doofe", damit ich auch verstehe, was gemeint ist. :crazy: Danke und sonnigen Gruß aus Mallorca |
Zitat:
Diese Trojaner wenn es wirklich einer ist können Passwörter stehlen und merken sich Tastatureingaben. |
Ich hatte diese Meldung bisher zweimal. Das erste Mal hat mir AntiVir mitgeteilt, daß sich hinter der Datei "SpyInstall" (also ja eigentlich ein offizielles Programm, was Viren, bzw. Trojaner etc. abwehren soll) das Trojanische Pferd TR/Spy.Banker.SO.1 verbergen würde und beim zweiten Mal, als ich von Trojaner-Info das Cleaner Programm gegen NetSky herunterladen und abspeichern wollte. Wenn es denn möglich wäre, könnte man ja glatt denken, AntiVir sei "eifersüchtig" auf die Mitbewerber. Mir wurden dann nur die verschiedenen Optionen (Datei umbenennen, löschen, öffnen unterbinden...etc) angeboten. Einen File habe ich nicht gesehen. Komischerweise ist dieser "Trojaner" den AntiVir mir gemeldet hat, nicht einmal in der eigenen, von AntiVir erstellten Virenliste aufgeführt.... :dummguck: |
|
Hallo, bin halbwegs in der escan Anweisung fortgeschritten, komme aber jetzt nicht weiter. Beim Erstellen der find.bat passiert Folgendes: wenn ich mit dem rechten Mausklick auf den link gehe bei "speichern unter" fragt er mich nicht nach dem Pfad, sondern fängt sofort an mit dem download. Auf halber Strecke erhalte ich dann die Nachricht: "find.bat von www.media-folders.de kann nicht übertragen werden. Die site wurde nicht gefunden. Überprüfen Sie die Adresse..." ?! Wenn ich die site unter www..... direkt eingebe, gibt es sie auch nicht..! kann ich da noch irgendetwas manuell eingeben, um mit der Installation von escan fortzufahren?? :nixda: Gruß |
Also bei mir funktioniert der LINK mit Rechtsklick und dann speichern unter. |
@The Saint ich bekomme diesen text Aufgrund eines schweren Systemfehler befindet sich Media-Folders zur Zeit im Wartungsmodus. @FrauHilflos dann bitte auf die alte art und weise: EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." poste auch bitte Öffne C:\bases\mwav.log Am Ende folgendes suchen und hier rein kopieren: Zitat: Total Files Scanned: Total Virus(es) Found: Total Disinfected Files: Total Files Renamed: Total Deleted Files: Total Errors: Time Elapsed: Virus Database Date: Virus Database Count: chaosman |
Wenn ich direkt auf die Site www.media-folders.de gehe, erhalte ich auch die Nachricht " Seite wurde nicht gefunden"..!!?? Ich kann zwar mit rechtem Mausklick auf den link auf "speichern unter" gehen, er mach dann aber nicht das Feld mit dem Pfad auf sondern geht direkt auf download. Und wie schon gesagt, danach kommt dann der Abbruch, weil die Seite nicht gefunden wird... |
ok, danke, dann werde ich mal loslegen..... :crazy: |
Also echt komisch wenn ich meinen geposteten Link anklicke funktioniert es und bei deinem Link ist ein Systemfehler. ratlos bin! :o :balla: Ich sags euch gleich Haui45 ist schuld! :lach: Ich grüße Haui45! |
@all Ups :crazy: der funktioniert. http://www.media-folders.de/user/Haui/Find.bat der hier http://www.media-folders.de/ nicht. :nixda: @FrauHilflos bei diesen link müßte es gehen http://www.media-folders.de/user/Haui/Find.bat THX the Saint :party: LG chaosman |
Zitat:
Zitat:
Gruß zurück ;) @FrauHilflos Schau mal hier. |
Man hätte sich ca. 8 Posts sparen können, wenn man dieser Anleitung gefolgt wäre. :crazy: |
:) So - hier das Ergebnis des scans, der dann statt ca. 1 Stunde bei mir 4 Stunden gedauert hat...! Ich hoffe, daß diese Informationen die sind, die Ihr haben wolltet: File C:\Programme\TightVNC\WinVNC.exe tagged as not-a virus:RemoteAdmin.Win32.WinVNC-based.h. No Action Taken. File C:\WINDOWS\Dit.exe tagged as not-a-virus:Garbage.Win32.CustomIcons. No Action Taken. File C:\WINDOWS\DitExp.exe tagged as not-a-virus:Garbage.Win32.CustomIcons. No Action Taken. File C:\Dokumente und Einstellungen\Randolf\Lokale Einstellungen\Anwendungsdaten\Wildtangent\Cdacache\00\00\0F.dat tagged as "not-a-virus:AdWare.WildTangent.b". Action Taken: No Action Taken. File C:\Programme\AIDA32 - Enterprise System Information\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. File C:\Programme\AIDA32 - Enterprise System Information\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. C:\Programme\TightVNC\VNCHooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. No Action Taken. C:\WINDOWS\Dit.exe tagged as not-a-virus:Garbage.Win32.CustomIcons. No Action Taken. C:\WINDOWS\DitExp.exe tagged as not-a-virus:Garbage.Win32.CustomIcons. No Action Taken. C:\WINDOWS\Downloaded Program Files\ieatgpc.dll tagged as "not-a-virus:AdWare.WebEx". Action Taken: No Action Taken. D:\AA Daten\Allgemeines Treiber Programme Tools\downloads\aida32ee_390.zip tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. D:\AA Daten\Allgemeines Treiber Programme Tools\Programme Sammlung\Programme Büro 2 Rechner Plass\DownloadWare\Downloads\90.dat tagged as "not-a-virus:AdWare.MediaPops.b". Action Taken: No Action Taken. File D:\AA Daten\Allgemeines Treiber Programme Tools\Tools\DiVX Video\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\AA Daten\Max Neuer Ordner\Compaq ipaq\ipaq soft von jörg\pim\pocket_informant_setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\AA Daten\Max Neuer Ordner\Downloads\CANON-D646U\ioware-w32-x86-31.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\AA Daten\Max Neuer Ordner\Downloads\ioware-w32-x86-28.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\AA Daten\Max Neuer Ordner\Downloads\Jana95.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\AA Daten\Sascha Filmtreiber\tools\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\AA Daten\Sascha Filmtreiber\video\mediastudio\Patcher.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. Total Objects Scanned: 183479 Sun Jun 19 16:41:25 2005 => Total Virus(es) Found: 20 Sun Jun 19 16:41:25 2005 => Total Disinfected Files: 0 Sun Jun 19 16:41:25 2005 => Total Files Renamed: 0 Sun Jun 19 16:41:25 2005 => Total Deleted Objects: 0 Sun Jun 19 16:41:25 2005 => Total Errors: 183 Sun Jun 19 16:41:25 2005 => Time Elapsed: 03:56:20 Sun Jun 19 16:41:25 2005 => Virus Database Date: 2005/06/19 Sun Jun 19 16:41:25 2005 => Virus Database Count: 135451 Bereits nach 4 Minuten allerdings hat escan mir mitgeteilt, daß die gefundenen Viren nur entfernt werden können, wenn ich das Programm kaufe. Sollte ich das tun??? Übrigens - danke Cidre für den guten Tipp, hätte ich vielleicht auch so gemacht, wenn Du das etwas eher gepostet hättest :lach: . Ich warte dann mal, was von Euch jetzt so an Ratschlägen kommt Danke erst mal und Grüße aus der Sonne Frau nicht mehr ganz so Hilflos :huepp: |
Also ein Trojaner Eintrag ist hier nicht zu finden! Lade dir den CCleaner bereinige dein Betriebssystem damit. Danach mache noch einen Onlinescan Ein Hijackthis Logfile wäre auch noch interessant. |
ok, werde ich machen. Erst mal danke für die schnelle und vor allem für mich Blondine verständliche Hilfe :lach: . Sollte es Euch mal nach Mallorca verschlagen seid Ihr hiermit jetzt schon auf eine Runde Boot fahren eingeladen...!!! :huepp: Gruß aus der Sonne |
Hallo TheSaint :heilig: hier nun das HiJackThis logfile. Der Onlinescan hat nach dem Bereinigen mit CCleaner noch 6 infizierte Dateien gemeldet, von denen 4 wiederum "desinfected". Die zwei, die nicht bereinigt werden konnten lt. CCleaner waren 2 Dateien von Adaware..(?!). Muß ich da noch was machen?? Hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:25:05, on 20.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonalPremium\AVGUARD.EXE C:\Programme\AVPersonalPremium\AVESVC.EXE C:\Programme\AVPersonalPremium\AVWUPSRV.EXE C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TightVNC\WinVNC.exe C:\Programme\AVPersonalPremium\AVMAILC.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\WINDOWS\System32\hpha2mon.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\AVPersonalPremium\AVGNT.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\program files\interMute\SpySubtract\SpySub.exe C:\WINDOWS\explorer.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [HPHA2MON] C:\WINDOWS\System32\hpha2mon.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AMTANGEE® Call Monitor.LNK = C:\Programme\AMTANGEE\CallMonitor.exe O4 - Global Startup: AMTANGEE® Message Gateway.LNK = C:\Programme\AMTANGEE\EmailGateway.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: SpySubtract.lnk = C:\program files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Konvertieren für CLIÉ - C:\Programme\Sony\Image Converter\menu.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - h**p://www.medionshop.de/ (file missing) (HKCU) O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM) O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - ht**p://www.mgisoft.com/ActiveX/LPControl.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - h**ps://pumatech.webex.com/client/latest/webex/ieatgpc.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - h**ps://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{77F04ECC-97FF-4CC6-AD32-F56ED04A07EC}: NameServer = 194.224.52.36,194.224.52. O17 - HKLM\System\CCS\Services\Tcpip\..\{B8C2EE41-E88D-4948-B6B7-4EE200A53C71}: NameServer = 194.224.52.36,194.224.52. O17 - HKLM\System\CCS\Services\Tcpip\..\{BB20CAC0-A756-403E-A417-05316E8ADEBF}: NameServer = 194.224.52.36,194.224.52. O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\Programme\AVPersonalPremium\AVMAILC.EXE O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVGUARD.EXE O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Für Dich wahrscheinlich ganz logisch, für mich Böhmische Wälder. :crazy: Warte dann auf Nachricht Gruß von der Insel :) |
Fixe im abgesicherten Modus folgende Einträge mit hijackthis: Zitat:
Suche und überprüfe folgende Dateien wenn dir unbekannt bei Jotti und poste uns das Ergebniss falls infiziert: Zitat:
Danach ein neues hijackthis Logfile posten. |
:dummguck: "medion" heißt mein Rechner - trotzdem fixen??? |
Den O9 Eintrag kannst du auf jeden Fall fixen. Den R1 mußt du selbst wissen... Zitat:
btw: Bis auf diese Ausnahme [1] , brauchst du die anderen Dateien keiner Prüfung unterziehen. [1] Zitat:
|
Malware Scan: C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 1.exe C:\Programme\AMTANGEE\CallMonitor.exe C:\Programme\AMTANGEE\EmailGateway.exe (diese beiden Programme hatte ich auf jeden Fall schon gestern nach dem Scan gelöscht) C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe Zu allen diesen Dateien hatte ich jeweils den nachfolgenden Kommentar: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Die 1. und 5. Datei war ok. HiJackThis logfile kommt noch |
Dann beende die dazugehörigen Prozesse vorher im Taskmanager. |
Ja - AMTANGEE ist richtig vermutet, habe ich aber gestern schon vom Rechner geschmissen, weil ich das Programm doch nicht benutze |
:dummguck: aha -- und woher weiß ich, welcher Prozess zu welcher Datei gehört?? Da ist kein Prozess, der den Dateien ähnelt....(sorry..) |
Wie ich bereits geschrieben habe, brauchst/mußt du keine Datei überprüfen oder geschweige einen Prozess beenden... :rolleyes: |
:schmoll: ...nee - Du nicht aber Cronos hatte das geschrieben..... :schmoll: Grüetzi :crazy: |
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr. |
Copyright ©2000-2024, Trojaner-Board