Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Downloarder.Firu.H gefunden was tun? (https://www.trojaner-board.de/63408-trojan-downloarder-firu-h-gefunden-tun.html)

christoph281 02.11.2008 17:14
hmmm also dieses cpu problem is irgend was anderes... aber definitiv neu...
gehe jetzt ziemlich agressiv an die sache rann damit ich überhaupt vernünftig mit meinem pc arbeiten kann...

schieß den prozess svchost.exe SYSTEM im taskmannager jetzt immer ab...
im leerlaufprozess zeigt mir der mannager zwar immernoch 97-99% an aber der cpu un sich bleibt im normalen bereich. kann auch keine einschränkungen vom betriebssystem her erkennen bis jetzt.

natürlich is das nich grad die optimale lösung. laufen tuts jedenfalls so.

ich glaub ich muss mal über ein neues betriebsystem nachdenken. so viel stress geht ein auf den zeiger.

Silent sharK 02.11.2008 20:18
Das der Lehrlaufprozess ca. 99% beträgt, wenn man den Rechner nicht auslastet, ist doch normal. :)

Was ist mit mbr.exe?

christoph281 02.11.2008 20:34
Zitat:
Zitat von Silent sharK (Beitrag 388417)
Das der Lehrlaufprozess ca. 99% beträgt, wenn man den Rechner nicht auslastet, ist doch normal. :)
ja quatsch... erklärfehler... kann doch eure sprache nich lol

hab das problem behoben. lag an den updates von ms. die werden zwischengespeichert und belasten dadurch den cpu. soll wohl auch ein bekannter fehler sein. hab diesen speicher gelöscht und jetzt arbeitet er wieder super.

Zitat:
Was ist mit mbr.exe?
wenn ich auf den link gehe den du mir hier geswchrieben hast lößt das gleich mein virenwächter aus und sperrt die seite.

Silent sharK 02.11.2008 20:36
Dann bin ich ja zufrieden. :D

Zitat:
wenn ich auf den link gehe den du mir hier geswchrieben hast lößt das gleich mein virenwächter aus und sperrt die seite.
Schau dir den Link an und du wirst merken, mbr.exe ist von GMER. ;)
Also deaktiviere deinen Wächter.

christoph281 02.11.2008 20:47
ok... ich setz mich gleich mal rann.

ich versteh mein pc dank dir immer mehr ^^

aber um ehrlich zu sein habe ich nach der ganzen aktion hier bedenken was onlinebanking angeht.

das wäre das einzige was ich an diesem rechner hier gegehrt sein kann für gesindel. die restlichen datein und nutzungen sind nich so emfindlich für mich. hab vieles von arbeit auf meinem notebook welches ich noch nie am netz hatte.

würde gerne wissen wie ich mir zu 100% (99%) sicher sein kann das kein schädling drauf ist bevor ich mich einlogge bei meinem bankserver. gibts da ne checkliste?

Silent sharK 02.11.2008 20:51
Onlinebanking würde ich generell nicht betreiben, da immer die Gefahr besteht, infiziert zu sein.

Wenn du wirklich sicher Onlinebanking betreiben willst, nutze eine Live-CD. Die geeigneste für Onlinebanking ist BartPE. ;)

christoph281 02.11.2008 21:06
keine chance... bekomm es zwar auf den desktop aber nicht geöffnet... für eine 10tel sek versucht sich ein fenster zu öffnen aber bricht sofort wieder ab. fehlermeldungen kommen keine.

Silent sharK 02.11.2008 21:07
Ja, wenn du mbr.exe anklickst, öffnet sich kurz ein DOS-Fenster und es wird ein mbr.log im gleichen Verzeichnis erstellt, wie die mbr.exe liegt.

christoph281 02.11.2008 21:11
aha... also dann war es das schon?


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Silent sharK 02.11.2008 21:12
Gut, dein MBR ist sauber.
Das heißt, du bist clean, bzw. dein Rechner. ;)

christoph281 02.11.2008 21:17
:aplaus:

na ich geh gleich inne wanne ^^

hier nochmal ne frische hijackthis logfile

ich kann das nich lesen :rolleyes:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:05, on 02.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\System32\PAStiSvc.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Mixer.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\G DATA\AntiVirus\AVK\avk.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1225576058015
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINXP\System32\PAStiSvc.exe

--
End of file - 6437 bytes

christoph281 02.11.2008 21:21
:koch:

jetzt bekomm ich gleich nen anfall. hab grad mein gdata antivirus wieder angeschalten weil ichs ja ausschalten musste wegen dem downloard und nu hat er was gefunden.


Virus: Win32:Crypt-CZU [Trj] (Engine B)
Datei: mbr.exe
Verzeichnis: C:\Dokumente und Einstellungen\Pentium4\Desktop
Prozess: Explorer.EXE

Silent sharK 02.11.2008 21:26
Es ist doch zum schwarz ärgern, wie sich die AVPs gegenseitig als bösartig erkennen. :koch:

christoph281 02.11.2008 21:33
ah ich verstehe was du meinst... weil sie sich genauso verhalten!?

was mach ich jetzt mit dem ding in der quarantäne? is meine logfile ok?

darf ich dann mal bald inne wanne?

Silent sharK 02.11.2008 21:42
Ja, deine Logfiles sind sauber. Restrisiko bleibt dennoch immer.
Zitat:
was mach ich jetzt mit dem ding in der quarantäne?
Welches Ding?! :confused:


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:56 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131