Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Silentbanker.E (https://www.trojaner-board.de/60077-tr-silentbanker-e.html)

nastibaby 17.09.2008 14:44
TR/Silentbanker.E
 
Ich brauche Eure Hilfe: Antivir sagt mir:
"In der Datei 'C:\WINDOWS\system32\33883343101.CPX'
wurde ein Virus oder unerwünschtes Programm 'TR/Silentbanker.E' [trojan] gefunden."
Nach löschen und Neustart ist der Trojaner wieder da.
Was kann ich tun? Bitte um Hilfe!

Betriebssystem ist XP SP2

raman 17.09.2008 15:25
Nutze einmal SDFix nach Anleitung
http://www.hijackthis-forum.de/showpost.php?p=195786&postcount=8

Abgesicherter Modus: http://www.trojaner-board.de/63335-windows-abgesicherten-modus-starten.html

Poste den von SDfix erstellten Report.

nastibaby 17.09.2008 16:07
Hier der Bericht von SDFix:



SDFix: Version 1.226
Run by Administrator on 17.09.2008 at 16:58

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

SilentBanker/PWS:Win32/Yaludle.A found!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"aux1"="wdmaud.drv"

Restoring aux1 registry value to wdmaud.drv

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\12617236631.CPX - Deleted
C:\WINDOWS\system32\126172366312.CPX - Deleted
C:\WINDOWS\system32\126172366321.CPX - Deleted
C:\WINDOWS\system32\126172366366.CPX - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 17:03:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000a6

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"="%ProgramFiles%\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\Skype\\Phone\\Skype.exe"="%ProgramFiles%\\Skype\\Phone\\Skype.exe:*:enabled:Skype"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"="C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\\Programme\\KODAK\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"="C:\\Programme\\KODAK\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe:*:Disabled:backWeb-7288971"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:Enabled:Remoteuntersttzung"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"="%ProgramFiles%\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%ProgramFiles%\\Skype\\Phone\\Skype.exe"="%ProgramFiles%\\Skype\\Phone\\Skype.exe:*:enabled:Skype"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"="%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:Enabled:AOL"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 9 Oct 2005 8 ..SHR --- "C:\WINDOWS\system32\A3DA537E26.sys"
Fri 16 Sep 2005 1,847,296 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\launcher.exe"
Fri 22 Apr 2005 95,232 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\RmvSuite.exe"
Tue 6 Sep 2005 36,864 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\setuplng.dll"
Tue 24 May 2005 20,480 A..HR --- "C:\Programme\Microsoft Works Suite 2006\Setup\unregwtr.exe"
Wed 17 Sep 2008 108 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"

Finished!

raman 17.09.2008 16:13
Nun sollte Antivir den Trojaner nicht mehr melden!?

Wir sollten aber lieber auf Nummer sicher gehen.

Nutze bitte Combofix:
Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

nastibaby 18.09.2008 14:25
Vielen lieben Dank roman.

Ich habe alles so gemacht und der Trojaner ist weg.

Ich bin Dir sehr dankbar.

raman 18.09.2008 14:33
HAst du Combofix genutzt? Falls ja, poste bitte den erzeugten Report.
Denke bitte daran, das u.U. nicht alle Malware entfernt wurde und daran, das du alle Passworte aendern musst, die auf dem Rechner genutzt und/oder gespeichert wurden! Besonders in Bezug auf Onlinebanking!


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:48 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129