Trojaner-Board - AntiVir Trojaner/Virus gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AntiVir Trojaner/Virus gefunden - was nun? (https://www.trojaner-board.de/48872-antivir-trojaner-virus-gefunden.html)

AntiVir Trojaner/Virus gefunden - was nun?

Guten Tag liebe Community,

benutze seit längeren mal wieder einen Virenscanner. Habe es seit geraumer Zeit nicht für nötig gehalten einen zu installieren, wenn man verdächtige Dateien auf Virustotal lädt, um zu kontrollieren ob sie sicher sind. Nachdem ich heute aber Antivir installiert habe und es durchlaufen lasse habe, stieß das Programm auf einer Datei / Virus (what ever) mit dem Namen "TR/Agent.304128.1", welche ich sofort gelöscht habe (per AntiVir)

Nach erneutem durchlaufen war alles Clean, habe auch Spybot benutzt und Lavasoft Ad-Aware 2007.

Mich stellt sich aber nun doch die Frage, ob Rückstände dieser Software noch auf meiner Platte existieren oder womöglich noch aktiv sind, aber nicht von AntiVir erkannt werden.

Hier mal mein HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:28, on 29.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
c:\program files\avira\antivir personaledition classic\avscan.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E5201F-7724-4CCB-B0B6-7FF061BBBA73}: NameServer = 87.245.0.35 87.245.0.34
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 5278 bytes

Vor dem Fund habe ich schon mal mit HijackThis durchsucht, aber diese Datei dort noch nicht gefunden.

Hier mal ein Screen von meiner Eingabeaufforderung mit netstat -a

http://img85.imageshack.us/img85/8162/netstatuz5.jpg

Muss ich formatieren?

*bump* :Q kann keiner helfen?

in einem anderen thread hatte jemand dasselbe problem mit TR/Agent.304128.1
er hat wohl irgendwas mit shark.project gefunden was auf einen BdT shark schliessen lässt wenn dem so ist hat dir das löschen gar nichts gebracht und er ist immer noch aktiv. meist als svchost.exe iin den prozessen. schau mal ob du noch in die cmd,regedit und taskmanager reinkommst. in cmd mal unter netsat -a schaun ob eine no-ip oder dynip auf dich zugreift.

Hi,
ich habs nicht so mit Vista. Aber die Logs sehen sauber aus.
In welcher Datei war denn der Fund?
Es gibt im Großen und Ganzen 2 Möglichkeiten:
1) Die gefundene Datei war ein FalsePositive oder eine nichtausgeführte Setupdatei, dann bist du jetzt sauber
2) Die Datei war Teil eines Trojaners, der deinen Rechner befallen hat. Dann hat das Löschen der einzelnen Datei mit Sicherheit kein sauberes System erzeugt.

@suffer
Erst lesen dann schreiben, schau dir doch einfach an, was netstat -a ergeben hat.

lg myrtille

sry net gesehn. also die netstat sieht ja eigentlich ganz gut aus... die logfile auch... wobei ich mich frege was C:\Windows\system32\PnkBstrA.exe ist.

@sufffer:
Google ist dein Freund: pnblabla bei a-squared (Einer von 56.600 Treffern)
Der automatischen Auswertung sollte man nicht ohne weiteres trauen. ;)

lg myrtille

Danke für die Antworten. Wie kann ich nun sehen, welcher Prozess z.B in svhost steckt?

Toll.. Als ich den Virenscanner noch nicht drauf hatte, hat mir jemand eine Datei geschickt, die ich dann geöffnet habe, sich aber nichts getan hat, also nichts bei gedacht. Als ich dann den Virenscanner durch den Windowsordner laufen lassen habe, habe ich dann diesen TR/blabla gefunden und ja auch gelöscht. Jetzt habe ich eben die Datei gescannt, die mir geschickt wurde und VT zeigt mir diese Ergebnisse:

http://img82.imageshack.us/img82/9541/ergebnisxf6.jpg

Was mach ich nun? ....

lol sei verdammt froh das der ersteller ein noob war sonst hättest den nicht gefunden. SOFORT system neuafsetzen und dannach alle passwörter von allen webseiten, email,paypal usw ändern. mit einem backdoor trojaner ist nicht zu scherzen. er hat wohl aufgrund von offline keylog und passwortmanager schon alle deine accounts und pws!

Danke, hab ich gemacht.. ^^

wer weiss wie lange der schon drauf war. hoffe dir ist kein schaden entstanden. solltest keine torrents, bearshare, emule usw nutzen und aufpasssen was du von freunden annimmst

Wieso keine Torrents?
Wennste dir z.b ne Linuxdistri über Torrent ziehst, glaub ich kaum, dass die infiziert ist ;)

naja alles über 100mb kann man wohl laden sicher ist das aber auch net. nur die chance verringert

Hallo leute ich habe gedacht ich kriegs selba hin aber brauche eure hilfe
habe so meine probleme mit trojaner und hijackes
nun ja trojaner werden mit programmen downgeloadet und hi jakcs sind werbungen
und mein problem is nun bei mir sind 500 dateien infiziert und 19 bedrohungen
also es sind
Adware.mirar 55 infiziert
Roguespyware.Virus Barst 2 infiziert
TrojanPsquard_Desktop_HIJacker 1
ales andere sind auch trojaner sowol Adware und Spyware
Könnt ihr mir helfen also von meiner erfahrung aus darf man ja keine .exe dateien downloaden aber was soll ich anders tun ist doch in jedem tool drinn
Kennt ihr paar programme
habe schon Spyware doktor ausprobiert sowol auch spywarefighter trojan killer
aber funktioniert nichts
brauche ein kostenloses programm zum löschen von dem ganzen virusen und trojaner
Bitte hilft mir bin verzweifelt
DANKE