Trojanisches Pferd Downloader. Small. 7.AZ
 

Mahlzeit ich habe eine Frage ein bekannter von mir hat das Trojanische Pferd Downloader. Small. 7.AZ alle von mir benutzten Programme erkennen ihn zwar aber können ihn nicht entfernen!

Frage: Kennt jemand diesen und wenn ja wie kann ich ihn weg machen????

Er soll mal ein HijackThis-Log posten: http://filepony.de/download-hijackthis/

Mit einem Scan mit eScan kann er diesen Schädling mit Sicherheit entfernen: http://www.trojaner-board.de/showthread.php?t=6083

Hallo,

siehe hier: http://computercops.biz/postt59689.html

Oder ein Log-File von HiJackThis posten.

Frage: Kennt jemand diesen und wenn ja wie kann ich ihn weg machen????[/QUOTE]

Hallo, weiß jemand was dieser Trojaner auf dem Rechner veranstaltet :confused:
Gruß Bubele

Hallo Bubele,

mittlerweile habe ich eine Spur dieses Trojaners entdeckt. Bedauerlicherweise ist diese Spur in kroatischer oder polnischer Sprache geschrieben, folglich kann ich leider nicht lesen, was er bewirkt.

Wo hast Du ihn denn entdeckt? Ist er vielleicht in den Temporary Internet Files ?

Poste doch mal ein logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

Hallo Shadowdance,
der Trojaner wurde auf dem Rechner mit AVG-Virenscanner entdeckt, konnte aber nicht entfernt werden.
Das file war C:\Dokumente und Einstellungen\Administrator\TemporaryInternetFiles\Content.IE5\ULO72TE1\cax[1].cab:\Ole32ws.dll
Nachdem ich einen e-scan im Abgesicherten Modus laufen lies wurde zwar auch etwas gefunden, leider immmer "no aktion taken" & 1 x "renamed".
Schließlich habe ich mit Tune up den Kompletten Ordner "TemporaryInternetFiles" gelöscht, seit dem ist Ruhe, sprich der Virenscanner findet nix mehr. :daumenhoc
Interessant wäre halt nun noch zu wissen was dieser Trojaner anstellt.
Gruß Bubele

Hier noch ein logfile von Highjackthis:
vieleicht findet jemand noch Ungereimtheiten.

Logfile of HijackThis v1.98.2
Scan saved at 08:58:52, on 29.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Gupta\dbnt1sv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ngi-net.de/x/privat/index.php?main=10
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_RegCleaner] C:\PROGRA~1\Grisoft\AVG7\avgregcl.exe /BOOT
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: refresh.lnk = C:\Programme\Bitec\Programme\refresh.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\S6U12BX\WATCH.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21cabb0f...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.oberberg.net/activex/AxisCamControl.ocx

Wie der Name schon sagt, sind diese Dateien in der Regel dazu da, sich auf dem System einzunisten, meist eingebettet in Skripte und dann den eigentlichen Schädling aus dem Netz nachzuladen und auszuführen, besitzen also selbst strenggenommen noch keine direkt schädlichen Bestandteile. Einer der Gründe, weswegen man nicht den IE benutzen oder wenigstens die aktiven Inhalte (Active-X, VBS, Java-Script) standardmäßig deaktivieren sollte. Gibts mal eine Seite, auf der es unbedingt nötig ist, sollte man sicher sein, dass sie vertrauenswürdig ist und dann mal vorübergehend wieder aktivieren (z.Bsp. bei Windowsupdate).
Wenn es in den temporären Files war, dürfte eigentlich nichts passiert sein, evtl. waren aktive Inhalte ja auch wirklich deaktiviert, es wurde also zwar heruntergeladen, aber konnte nicht ausgeführt werden.