|
TR/Proxy.Ranky.JB Guten Abend (Morgen?), habe heute auf meinem PC den Trojaner TR/Proxy.Ranky.JB mit antivir entdeckt. Eingefangen scheine ich ihn mir bei der Installation von Warcraft 3 TFT zu haben, da der Virus nur auftaucht wenn ich versuche das spiel zu starten (das alles aber direkt nach der Installation von der CD, ohne irgendwelche Patches oder sonstwas downgeloadet zu haben). Nach dem ich das Spiel wieder deinstalliert hatte fand Antivir nichts mehr. Probeweise hab ich dann nochmals versucht WC3 zu installieren, als nur RoC installiert war konnte man ohne Probleme das Spiel starten. Als ich das Erweiterungspack wieder installiert hatte tauchte auch der Virus wieder auf. Anbei noch das HiJackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:44:01, on 24.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Michaela\Desktop\HiJackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4169 bytes Meine Frage ist nun, ob es noch eine Möglichkeit gibt den Trojaner loszuwerden ohne kompletter Neuinstallation.. lg Michaela |
Hallo!!! Hab genau das gleiche Problem. Sobald ich WC3 starten will, kommt die Trojaner-Meldung. Ist im Temp-Ordner drinne und zwar heißt die Datei "SIntf.dll", die nur auftaucht, wenn das Spiel gestartet wird. Ansonsten ist sie nicht im Ordner. Ich hab schon ein bisschen gegooglet und das gefunden Trojaner TR/Agent.BYZ - Viren und andere Sicherheitsrisiken - Avira Support Forum Letzten Jahr gabs wohl auch sowas... Komischerweise, hatte ich vor ein paar Stunden noch problemlos gespielt und ohne das ich irgendwas (jedenfalls nicht, dass ich wüsste) verstellt habe und vorhin wieder spielen wollte, kam der Trojaner. Ich weiß nur jetzt nicht genau, obs wieder so ein Fehler von AntiVir ist, oder diesmal wirklich einer?! Vor allem kann ich mich nicht mehr genau erinnern, wann Antivir geupdatet hat. :balla: Hab auch ehrlich geagt keine Lust mein PC zu formatieren. Das wär das 3.mal in 2 Monaten. :pfui: Vor allem, kommts nur bei WC3. Hab schon anderes Spiel getestet. |
Hi, Hatte vor paar Stunden beim starten von WC3-TFT auch den Alarm. Ich spiel mit der Original-CD und der Alarm hängt auf jeden Fall mit dem Kopierschutz zusammen. Ich geh bis auf weiteres mal von ner Falschmeldung aus |
Moin Zitat:
Aber besser die betroffene Datei mal hier Submit your sample mit verdacht auf Fehlalarm hochladen. Benachrichtigung folgt innerhalb weniger Tage. Bitte auch testen, ob nach einem Update von Antivir die Dateien weiterhin angemeckert werden. MFG |
Hab ich eben hochgeladen - werd hier wieder posten, sobald die Anfrage geklärt is! Doc Gonzo |
Hallo, Ich finde den Temp-Ordner nicht.Wo ist der? |
Und, ist es eine Falschmeldung? |
Hi! Also standartmäßig lautet der Pfad: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp Schau mal im Explorer in Extras/Ordneroptionen. Dort gibt es unter Ansicht: "geschützte Systemdateien ausblenden" - das Häkchen musst deaktivieren und "Versteckte Dateien und Ordner anzeigen" - da wählst Du "alle ...anzeigen" Dann siehst Du diesen Temp Ordner Aber ich würde mit der neuinstallation noch warten. Die Wahrscheinlichkeit, daß auf ner viele Jahre alten [kommerziellen] SpieleCD plötzlich ein Trojaner gefunden wird ist äußerst gering - und ich hab dieses Problem eben mit der Original-CD. Ich hab die Datei zum überprüfen hochgeladen und werd hier Bericht erstatten sobald ich ne Antwort bekommen hab! |
Ich hab einfach hochgepatcht und danach erschien die Meldung nicht mehr. Eventuell liegt es an der CD in Verbindung mit den neusten Updates von Antivir. Vielleicht haben die etwas als Virus deklariert, was keiner ist. (Ab 1.21 kann man ohne CD spielen) |
[geklärte Falschmeldung] AW: TR/Proxy.Ranky.JB So, jetzt ist die analyse von avira fertig: Zitat:
Der Fehler wurde bereits behoben - die Datei wird nicht mehr angemeckert! Gruß Doc Gonzo Kann closed werden |
hm, bin erst heute wieder heimgekommen, sind ja gute news :) danke für die raschen antworten! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:40 Uhr. |
Copyright ©2000-2024, Trojaner-Board