|
TR/Spy.Banker.vk.1 Hallo zusammen. Mein Bruder war gestern auf der Google-Bildersuche und als er ein Bild anklickte, sprang AntiVir an und behauptete dreist, den Trojaner TR/Spy.Banker.vk.1 im Firefox-Browser-Cache gefunden zu haben. Sofort wurde die Verbindung (Router) gekappt, alle Stecker gezogen und erstmal mit AntiVir das ganze System gescannt. Dabei fand AntiVir zwar keinen Trojaner mehr, aber diesen Schädling: HTML/PicFrame.Gen und zwar in einer 3 Jahre alten jpg-Datei auf meinem Rechner. Fehlalarm? Ich setze alle Sicherheitsvorschläge dieser Seite um (surfen mit eingeschränktem Konto, unnötige Dienste ausschalten, immer die neuesten Software- und Microsoft-Sicherheitsupdates...etc. etc.), Brain.exe natürlich auch aktiviert. :) Das System habe ich mittlerweile mit Malwarebyte's Anti-Malware, AntiVir, Microsofts-Malware-Removetool, einem Rootkitscanner und Adaware gescannt und dabei ist nichts rausgekommen. Habe auch bei heise.de meine Ports scannen lassen und alles ist dicht. Nun wäre es nett, wenn sich mal die Spezialisten meinen Hijack-This-Log von heute morgen mal ansehen könnten. Ich finde zwar nichts ungewöhliches, aber das muss nichts heissen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:23:25, on 06.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\SLEE401.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\Brmfl05a\BrStDvPt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\internet\Zone Labs\ZoneAlarm\zlclient.exe D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe D:\Sicherheit\HiJackThis\pruefcom.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [LanguageShortcut] d:\Multimedia\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\internet\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Handy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Update Service (gupdate1c995efc16e3a5e) (gupdate1c995efc16e3a5e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6016 bytes Im Vorraus recht vielen Dank für Eure Arbeit und Mühe. Grüße Nez_Perces |
Sollten Angaben fehlen oder man der Meinung sein, dass sich der Post der näheren Betrachtung nicht lohnt, dann würden 1-2 Sätze schon reichen. Ich bin mir nur nicht sicher, wie sicher mein System nun ist, da ich irgendwo mal gelesen habe, dass dieser Trojaner über eine Backdoor-Funktion verfügen soll (tun das nicht alle Trojaner??). Danke. Nez_Perces PS: Das ich den I-Explorer 6 noch drauf habe, weiss ich auch, aber ich surfe nicht mit ihm und verbiete ihm über die Firewall auch alle Aktivitäten ins Weltnetz. Dürfte also kein Problem sein, denke ich. PPS: Hier der Pfad unter welchem der vermeindliche Trojaner entdeckt wurde: 'C:\Dokumente und Einstellungen\W-W-W\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\m6r5lnhb.default\Cache\2F60B116d01' |
Dein Java ist wohl veraltet, lade dir die neueste Version runter. Und der Internet Explorer sollte dennoch immer aktuell gehalten werden. Nutzt du NoScript für den Firefox? Wenn nicht solltest du dieses Addon installieren. Zum Abschluss kannst du ja noch SUPERAntiSpyware laden, es updaten und im abgesicherten Modus scannen lassen. Hier sind noch Infos zum Spy.Banker.vk.1 --> http://www.avira.com/de/threats/section/fulldetails/id_vir/2754/tr_spy.banker.vk.1.html Ps.: Malwarebytes und auch andere Programme am besten als Administrator updaten lassen, denn ich habe bei mir festgestellt, das Malwarebytes die Updates nicht korrekt macht, wenn ich mit eingeschränkten Rechten update. Er sagt dann, dass er erfolgreich von 1822 auf 1822 geupdatet hat (nur als Beispiel). |
Danke für Deine Antwort, Kaos. :-) NoScript für den Firefox nutze ich schon lange, da bin ich gleich auf Nummer sicher gegangen. Das mit Malwarebytes habe ich auch herausgefunden und lade mir die neuesten Updates auch nur noch mit Admin-Rechten. Den Avira-Link kenne ich und habe aber in meiner Registry keine der dort beschriebenen Änderungen entdecken können. SUPERAntiSpyware habe ich mir jetzt runtergeladen und werde es dann mal durchlaufen lassen. Das Ergebnis werde ich hier posten. Java und den Explorer werde ich auch updaten. Nochmals vielen Dank für Deine Antwort/Hilfe. :-) |
Nachdem SuperAntiMalware zwar die beiden obengenannten Schädlinge nicht gefunden hat, dafür aber einen anderen Trojaner, habe ich mich entschlossen das System platt zu machen. Da dies nun geschehen ist und ich am Neuaufsetzen bin, kann dieser Thread geschlossen werden. Nochmals ein Dankeschön an Kaos für die Hilfe. :) |
Wäre unser Leben nicht so stark vom PC und Internet bestimmt, dann wäre einiges einfacher....:( Mein System ist neu aufgesetzt und alle Programme, die ich bisher installiert habe, stammen aus sicheren Quellen (CHIP-Internetseite oder PC-Magazin-Heft-DVD). Mittels CHIP-Updater habe ich alle notwendigen Sicherheits-Patches von Microsoft heruntergeladen und installiert. Dann habe ich AntiVir und Malwarebytes Antimalware ge-updated, durchlaufen lassen und mit HiJackThis und gmer mal ein Scan gemacht. Hier die Log-Files: HiJackThis Code: Logfile of Trend Micro HijackThis v2.0.2Code: Malwarebytes' Anti-Malware 1.34Code: GMER 1.0.14.14116 - http://www.gmer.netDer Fund von Malwarebytes AntiMalware macht mich stutzig, aber vor allem das Log-File von gmer schockt mich richtig. Leider reichen meine Kenntnisse nicht aus, es richtig zu deuten, aber wie kann das sein, dass so viele Einträge bei einem frisch aufgesetzten System vorhanden sind?? Ich hoffe, Ihr könnt mir, wie schon so oft, helfen. Vielen Dank für Eure Mühe und Arbeit im Vorraus. Nez_Perces PS: Bin jetzt daheim schon seit Tagen ohne funktionierenden Rechner, da ich nur Abends mich ans Neuaufsetzen machen kann. :headbang: |
Update mal Malwarebytes, lass dann noch mal laufen....wir sind nämlich bereits bei 1835 |
Hallo Redwulf, Danke für Deine Antwort. :) Malwarebytes habe ich eigentlich kurz vor dem Scan, im Admin-Modus, ge-updated. Dachte, dass würde so ok sein. Ich werde es nochmal updaten. Bloss bin ich im Moment bei der Arbeit und komme erst in der Mittagspause dazu. Kann mir vielleicht jemand die vielen Einträge beim gmer-Scan erklären? Verstehe das nicht. Danke. PS: Den CCleaner hatte ich vor den Scans auch ausgeführt. Die Liste aller auf meinem Rechner installierten Programme werde ich nach der Mittagspause nachreichen. Manchmal könnte ich den Rechner einfach aus dem Fenster werfen...... |
Passiert offensichtlich beim Quick Scan. Ich erinnere mich, dass dies mal bei Malwarebytes diskutiert wurde. Passiert wenn Mlawarebytes in Ordner guckt in die es nicht gucken sollte, in deinem Fall wohl in die Uninstall ordner? Vieleicht gibts heir ne andere Meinung noch dazu, aber ich würd sagen Fehlalarm....... Mach mal nen Vollscan |
Das dachte ich mir auch schon. Übrigends habe ich eben gesehen, dass ich letztes Jahr einen ähnlichen Fall hatte, wo Malwarebytes mir "services.reg" moniert hatte. In meinem Nachrichtenordner hier ist noch ein Schriftwechsel mit myrtille, die mir damals sehr geholfen hat (ein großes Dankeschön an Dich, myrtille, nochmals! :) ), wo es um das Problem mit der "service.reg" ging. Ok, dann könnte das ein Fehlalarm gewesen sein. Ich werde später trotzdem nochmal einen Scan mit Malwarebytes machen und den Log hier posten. Hoffentlich kann mir noch jemand etwas zum gmer-Log sagen. *piep* Rechner! :headbang: |
So, ich war in der Mittagspause daheim und habe Malwarebytes AntiMalware ge-updated. Auch mit der aktuellen Version fand es in der Datei "services.reg" den (Heuristics.Reserved.Word.Exploit). Ich habe die Datei bei virustotal.com hochgeladen und deren Scan hat keinen Treffer ergeben. Die Datei wurde erstellt, als ich das Script zum abschalten unnötiger Windows-Dienste ausgeführt hatte. Also denke ich, dass es sich hier um einen Fehlalarm handelt. Was allerdings die vielen Einträge beim Gmer-Log sollen, verstehe ich immer noch nicht. Hoffentlich kann mir da einer helfen. Hier noch die HiJackThis-Liste meiner installierten Programme: Code: 7-Zip 4.65Danke für Euer Verständnis. :) |
Es ist alles ok, du durchlebst grad eine harte Zeit und wirst neurotisch....:Boogie: Ist mir auch so ergangen,,,,:party: Die Gmer Einträge sind auch vollkommen ok,dir jetzt die Einträge alle im einzelnen zu erklären würde voraussichtlich bis morgen früh dauern. Ich persönlich würde die Zonealarm Firewall nicht nutzen. Die von Windows reicht vollkommen aus. |
http://i6.photobucket.com/albums/y23.../Gifs/post.gif Eine tolle Nachricht! Danke für Deine Hilfe! :daumenhoc Ja, ich reagiere wirklich schnell neurotisch, wenn es um die "Sauberkeit" meines Systems geht. Aber besser ich bin etwas neurotisch als, dass mein Rechner als Teil eines Botnetzes endet. :) |
Recht hast du...viel Glück Zum Abschluß möchte ich dir die gutgemeinten Hinweise in diesem Board ans Herz legen. Admin wir sind fertig :daumenhoc |
Fettich....... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board