|
Trojan.Silentbanker.E gefunden und entfernt - was jetzt? Guten Morgen! Ich bin neu hier und gebe mir Mühe, euren Anforderungen gerecht zu werden. Allerdings ist es schwierig, sich in diesem Dschungel zurecht zu finden. Das liegt natürlich nicht an euch, denn diese Webseite ist sehr gut gelungen und ihr versucht, diese komplizierten Abläufe einfach darzustellen. Nein, es liegt wohl an mir! Ich war zunächst äußerst hektisch, als mich zum erstenmal in diesem Leben ein Trojaner erwischte: Virus Total findet ihn mit folgenden Programmen unter folgenden Namen: BitDefender und GData: Trojan.Silentbanker.E F-Secure: Trojan.Win32.Agentaflz Fortinet: Virus.W32/Agent.AFLZ!tr Ikarus: Virus.Trojan.Win32.Agent.aflz Kaspersky: Trojan.Win32.Agent.aflz Micrisoft: PWS:Win32/Yaludle.APrevxl: Banking Info Stealer SecurWebGateway: Trojan.PSW.LooksLike.Yaludie Sophos: Mal/Generic-A Gefunden wurde er von mir bei Antivir: In der Datei 'C:\WINDOWS\system32\6829279361.CPX' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Löschen mit Antivir klappte nicht-, der Trojaner tauchte ständig wieder auf und meldete mit Piepsen jeweils 8fach einen Fund in der o.a. cpx-Datei. Und dann tat ich etwas, vor dem ihr warnt (hab ich erst hinterher gelesen) und habe etliche Malwareprogramme durchlaufen lassen. Malwarebytes´Antimalware hat den Virus dann gefunden und die Löschung scheint funktioniert zu haben, denn Antivir findet ihn nicht mehr! Bin ich jetzt sicher? Ist noch etwas zu tun! Ich will nicht das ganze System crashen!? Im Übrigen benutze ich keine gecrackte Software!!! Hijack - Logfile lässt sich nicht hochladen, daher poste ich sie so: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:15:40, on 07.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\SearchProtocolHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O1 - Hosts: 85.214.81.70 l2authd.lineage2.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 5615 bytes |
Der Virus wurde im Übrigen schon hier gepostet. Da der Post nicht viel hergab und weder den Hijack.log noch andere Hinweise enthielt und ich keine Antwort in dem Thread verfassen kann, habe ich einen neuen Thread gepostet. Auch andere Internetseiten weisen auf die verschiedene Funde dieses Trojaners in den letzten Tagen vermehrt hin! Es scheint ein aggressives Kerlchen zu sein! http://www.trojaner-board.de/61364-t...gent-aflz.html http://www.trojaner-board.de/61407-s...ifizieren.html http://www.trojaner-board.de/60550-s...r-ist-tot.html http://www.trojaner-board.de/60918-s...ys-values.html |
Neue Logdatei nach Entfernen der Malware: :aplaus: ähem: Der kleine Mistkerl hat sich zurückgemeldet! Fund durch Antivir - Malwarebytes´Antimalware findet ihn nicht mehr! Erste Maßnahme: Alle Konten - Pins über anderen Rechner geändert! Jetzt gehts los: Ich werde, sofern keine andere Anweisung kommt, mit der Windows - CD booten und zunächst den Bootsektor neu schreiben lassen! Mal sehen, was es hilft, ich komme dann neu! |
Wo genau hat Antivir den silentbanker gemeldet? |
In der Datei 'C:\WINDOWS\system32\6829279361.CPX' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden. Ausgeführte Aktion: Datei löschen |
Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat? Nutz bitte einmal Combofix: Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast. |
Zitat:
www.clan-rotn.de www.google.de www.chip.de Ich habe gerademittels Kommando "fixmbr" den BootSektor (Sektor 0) neu geschrieben, lasse noch einmal Antivir und Malwarebytes´Anti-Malware durchlaufen, schaue, ob der Virus nach dem letzten löschen wieder auftaucht (wenn nicht könnte er ja im BootSektor gesessen haben)! Danach führe ich wie vorgeschlagen Combofix durch und sage jetzt schon einmal danke für die Mühe! Ich melde mich nach Vollzug wieder! |
Nach dem Reinigen des BootSektors (Sektor 0) wurde keine Virensoftware gefunden. Ich habe jetzt Combofix durchlaufen lassen. Das Log ist beigefügt! Allerdings identifiziert Antivir nun Combofix als Virus: Die Datei 'C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe' enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49584a33.qua' verschoben! Hier die Log Daten: ComboFix 08-10-06.05 - Bernie 2008-10-07 13:28:04.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.679 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 )))))))))))))))))))))))))))))) . 2008-10-07 08:53 . 2008-10-07 08:53 <DIR> d-------- C:\Programme\Trend Micro 2008-10-06 22:48 . 2008-10-06 22:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Malwarebytes 2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-06 22:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-06 22:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-06 21:19 . 2008-10-06 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Search 2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy 2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Programme\Windows Desktop Search 2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Desktop Search 2008-10-06 15:25 . 2008-03-07 19:02 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll 2008-10-06 15:25 . 2008-03-07 19:02 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll 2008-10-06 15:25 . 2008-03-07 19:02 29,696 --------- C:\WINDOWS\system32\dllcache\mimefilt.dll 2008-10-06 15:13 . 2008-10-06 15:13 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-09-25 19:58 . 2008-09-25 19:58 352 --a------ C:\WINDOWS\system32\121.CPX 2008-09-24 19:34 . 2008-09-24 19:34 139,264 --a------ C:\Dokumente und Einstellungen\Bernie\77tgx.exe 2008-09-20 11:14 . 2008-09-20 11:14 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner .ISO . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-07 10:43 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-10-07 08:33 --------- d-----w C:\Programme\audiograbber 2008-10-06 19:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-06 18:31 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\OpenOffice.org2 2008-10-06 18:23 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\teamspeak2 2008-10-06 18:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-10-06 17:10 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-09-20 09:32 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner DATA 2008-09-05 21:31 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll 2008-09-05 21:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe 2008-08-19 18:46 --------- d-----w C:\Programme\Lavasoft 2008-08-19 18:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll 2007-02-02 08:38 6,936 -c--a-w C:\Programme\pad_file.htm 2007-02-02 08:38 25,993 -c--a-w C:\Programme\pad_file.xml 2006-10-11 08:04 67,700 ----a-w C:\Programme\xpicleanup.exe 2008-05-08 09:22 32,768 -csha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050820080509\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 7630848] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497] "nwiz"="nwiz.exe" [2006-08-11 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "FoFileAssociate"= 0 (0x0) "NoUserNameInStartMenu"= 0 (0x0) "NoRecentDocsNetHood"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "wave1"= 6829279361.CPX [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\FRITZ!DSL\\StCenter.exe"= "C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"= "C:\\Programme\\7-Zip\\7zFM.exe"= "C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\lotrbfme.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8088:UDP"= 8088:UDP:SUM R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2006-11-07 14976] S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [ ] S3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2007-03-06 419096] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa65ef64-43f7-11dc-8d7c-00040e7b6406}] \Shell\AutoRun\command - E:\InstallTomTomHOME.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0a81e66-d6e6-11db-8b82-806d6172696f}] \Shell\AutoRun\command - D:\setup.exe *Newly Created Service* - PROCEXP90 . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Mozilla\Firefox\Profiles\y4q02os1.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-07 13:29:20 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-07 13:30:00 ComboFix-quarantined-files.txt 2008-10-07 11:29:58 Vor Suchlauf: 12 Verzeichnis(se), 136.944.312.320 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 136,938,602,496 Bytes frei 132 --- E O F --- 2008-09-10 15:28:13 |
Ich mach mir gleich ins Höschen! Jetzt zeigt mir Antivir auch noch die hier: Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000022.exe' enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503a.qua' verschoben! Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000030.com' enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503b.qua' verschoben! Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000046.exe' enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b5041.qua' verschoben! Die Datei 'C:\WINDOWS\NIRCMD.exe' enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493d5061.qua' verschoben! Oder sind das Dateien von Combofix, die nur für Viren gehalten werden? Bitte, lass es so sein! |
Ja, da motzt Avira Combofix an. Das kannst du ignorieren. Teste bitte folgendes bei Virustotal.com und poste den Link zu dem Ergebniss: C:\Dokumente und Einstellungen\Bernie\77tgx.exe Schau dir mal den Inhalt dieser Datei mit Notepad an: C:\WINDOWS\system32\121.CPX |
Notepad habe ich nicht! Wordpad zeigt jenes: *** Ich habe außerdem die Dateien: - 77tgx.exe - 121.CPX an www.Virustotal/com/de geschickt. Ergebnis: 1. 121.CPX Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.3.2 2008.10.07 - AntiVir 7.8.1.34 2008.10.07 - Authentium 5.1.0.4 2008.10.07 - Avast 4.8.1248.0 2008.10.07 - AVG 8.0.0.161 2008.10.07 - BitDefender 7.2 2008.10.07 - CAT-QuickHeal 9.50 2008.10.07 - ClamAV 0.93.1 2008.10.07 - DrWeb 4.44.0.09170 2008.10.07 - eSafe 7.0.17.0 2008.10.07 - eTrust-Vet 31.6.6133 2008.10.07 - Ewido 4.0 2008.10.07 - F-Prot 4.4.4.56 2008.10.06 - Fortinet 3.113.0.0 2008.10.07 - GData 19 2008.10.07 - Ikarus T3.1.1.34.0 2008.10.07 - K7AntiVirus 7.10.487 2008.10.07 - Kaspersky 7.0.0.125 2008.10.07 - McAfee 5399 2008.10.07 - Microsoft 1.4005 2008.10.07 - NOD32 3501 2008.10.07 - Norman 5.80.02 2008.10.06 - Panda 9.0.0.4 2008.10.07 - PCTools 4.4.2.0 2008.10.07 - Rising 20.65.12.00 2008.10.07 - SecureWeb-Gateway 6.7.6 2008.10.07 - Sophos 4.34.0 2008.10.07 - Sunbelt 3.1.1708.1 2008.10.07 - Symantec 10 2008.10.07 - TheHacker 6.3.1.0.102 2008.10.07 - TrendMicro 8.700.0.1004 2008.10.07 - VBA32 3.12.8.6 2008.10.07 - ViRobot 2008.10.7.1410 2008.10.07 - VirusBuster 4.5.11.0 2008.10.07 - weitere Informationen File size: 352 bytes MD5...: cb6fbc6bf5df8db808f5216a9c3446a3 SHA1..: db0ad6eb53889e9d9d46a122ac7cea171d589b9d SHA256: 60356c48ee3c9c8afc23a5371d84fc9b47fdc864e31388f1c0354d369d19ed73 SHA512: 9472d846c23e4fd2fa39d31f2ce00a31996d221100fbc58dc13a69e786baddef 75930cd74cb735576b8c73500992c9a929e82cd06250ccaa9600cc2bf8cb791c PEiD..: - TrID..: File type identification Unknown! PEInfo: - 2. 77tgx.exe war dann der Treffer! Datei 77tgx.exe empfangen 2008.10.07 19:05:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 5/35 (14.29%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.10.3.2 2008.10.07 - AntiVir 7.8.1.34 2008.10.07 - Authentium 5.1.0.4 2008.10.07 - Avast 4.8.1248.0 2008.10.07 - AVG 8.0.0.161 2008.10.07 - BitDefender 7.2 2008.10.07 Trojan.Silentbanker.E CAT-QuickHeal 9.50 2008.10.07 - ClamAV 0.93.1 2008.10.07 - DrWeb 4.44.0.09170 2008.10.07 - eSafe 7.0.17.0 2008.10.07 - eTrust-Vet 31.6.6133 2008.10.07 - Ewido 4.0 2008.10.07 Backdoor.Agent.syr F-Prot 4.4.4.56 2008.10.06 - Fortinet 3.113.0.0 2008.10.07 - GData 19 2008.10.07 Trojan.Silentbanker.E Ikarus T3.1.1.34.0 2008.10.07 - K7AntiVirus 7.10.487 2008.10.07 - Kaspersky 7.0.0.125 2008.10.07 - McAfee 5399 2008.10.07 - Microsoft 1.4005 2008.10.07 PWS:Win32/Yaludle.A NOD32 3501 2008.10.07 - Norman 5.80.02 2008.10.06 - Panda 9.0.0.4 2008.10.07 - PCTools 4.4.2.0 2008.10.07 - Prevx1 V2 2008.10.07 - Rising 20.65.12.00 2008.10.07 - SecureWeb-Gateway 6.7.6 2008.10.07 Trojan.PSW.LooksLike.Yaludle Sophos 4.34.0 2008.10.07 - Sunbelt 3.1.1708.1 2008.10.07 - Symantec 10 2008.10.07 - TheHacker 6.3.1.0.102 2008.10.07 - TrendMicro 8.700.0.1004 2008.10.07 - VBA32 3.12.8.6 2008.10.07 - ViRobot 2008.10.7.1410 2008.10.07 - VirusBuster 4.5.11.0 2008.10.07 - weitere Informationen File size: 139264 bytes MD5...: e0d9147e8bdf54cf4adfa3746e70e9cc SHA1..: 46f8b1dc03a3431006f422913942be446bdf402c SHA256: f0a0607476b5b01a3d9fd00a5cfa294ba885552688bf5dfdab4fc7f0e97938b6 SHA512: 9356e577805b09be560d373f88df49b61583b5a471783e600a2f3f92421ae814 6833b8f4d3084e71141708bb170448a3caaed30ee85a2b046d1051a9cf3abf4a PEiD..: Armadillo v1.71 TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40163f timedatestamp.....: 0x48d7fcd8 (Mon Sep 22 20:15:20 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2e8e 0x3000 6.49 71a2668f669768de3d3398f0160d286e .rdata 0x4000 0x7ce 0x1000 3.19 209a001e703077d592b416f1d6980d85 .data 0x5000 0x1cd3c 0x1d000 7.93 f50a4a0c93952d762195beb3c4093b4a ( 1 imports ) > KERNEL32.dll: VirtualProtect, lstrlenA, VirtualFree, GetProcAddress, LoadLibraryA, GetModuleHandleA, VirtualAlloc, CloseHandle, WriteFile, SetFilePointer, CreateFileA, lstrcpynA, lstrcatA, GetModuleFileNameA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, HeapFree, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, HeapReAlloc, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW ( 0 exports ) WAS SOLL ICH TUN? DEN KERL LÖSCHEN? |
Ja, loesch die beiden Dateien... mache einen KOmplettscan mit Antivir und ein Onlinescan mit Bitdefender: http://www.bitdefender.de/scan_de/scan8/ie.html |
Antivir findet nichts mehr! Und Bitdefender findet auch nichts! Ist jetzt wirklich alles weg? Das wäre sooooooo ..... S U P E R !!! |
Der Silentbanker scheint zumindest weg zu sein |
Vielen herzlichen Dank für deine Hilfe! Das war riesig! Ich wünschte ich könnte mich revanchieren! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board