Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Silentbanker.A (https://www.trojaner-board.de/71351-silentbanker-a.html)

einauge 24.03.2009 19:41
Silentbanker.A
 
Hi.
Ich hatte gestern die Meldung bei avira virenscanner dass der tr/silentbanker.a gefunden worde. Ich hatte ihn dann als folgende Aktion gelöscht (datei weiss ich leider nicht mehr).
Windows neu gestartet und er scheint weg. Nachdem ich mich kundig über den Trojaner gemacht habe, habe ich die Windows Partition neu formatiert und von den anderen beiden Partionen das Nötigste gerettet und diese auch neu formatiert. Reicht das? Ist die .A Version nicht so gefährlich wie die Anderen? BtW ich betreibe kein Online Banking.

Vielen Dank und Gruss
EinAuge

Angel21 24.03.2009 19:43
Gehe mal bitte wie folgt vor: http://www.trojaner-board.de/69886-a...-beachten.html das unter Punkt 2 ab arbeiten.

Überschrift heißt: Bitte diese Programme nacheinander ausführen:


Und dann melden wir uns wieder :)

einauge 24.03.2009 21:13
Ok hab ich mal gemacht.




CCcleaner hat nix gefunden.




Hijackthis und malware haben folgendes ergeben:


Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1892

Windows 5.1.2600 Service Pack 2



24.03.2009 20:56:47

mbam-log-2009-03-24 (20-56-47).txt



Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)

Durchsuchte Objekte: 73452

Laufzeit: 8 minute(s), 17 second(s)



Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0



Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)



Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)



Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)



Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)



Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)



Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)



Infizierte Dateien:

(Keine bösartigen Objekte gefunden)











Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:57:44, on 24.03.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20661)

Boot mode: Normal



Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\spoolsv.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\wscntfy.exe

C:\WINXP\system32\ctfmon.exe

C:\hi\HiJackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe



--

End of file - 2678 bytes


_________________________________________________________________________________


Ist allerdings ein sehr jungfräuliches Windows.


Scheint alles i.O. zu sein. Oder?


Gruss
EinAuge

Angel21 24.03.2009 21:17
Lade dir mal Gmer >>GMER - Files und setz hier mal bitte das Log rein.

einauge 24.03.2009 21:42
Das proggi hatt nichts gefunden daher der log leer.
Ich nehme mal an das d. TRojaner nicht richtig aktiv wurde.

Das System musste nach 3 Jahren eh mal neu aufgespielt werden. Zu viel Müll...

Angel21 24.03.2009 21:51
Haste das BS VOR dem Trojanerfund oder nach dem Trojanerfund neu aufgesetzt?


EDIT: Ich möchte bevor wir das abschließen, noch etwas mit dir durchgehen.

Und zwar möchte ich mir noch anschauen, ob mit dem Kernel und dem Master Boot Record alles okay ist >> http://virus-protect.org/artikel/tools/mbr.html


Dann sehen wa weiter.

einauge 24.03.2009 22:22
Das Windows wurde nach dem Virus neu aufgespielt.
Das MBR müsste nachdem ich die c partion gelöscht und neu erstellt habe, Virenfrei sein.
Hab aber mal das Programm laufen lassen:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net



device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Gibt es noch ein Proggie was ich testen sollte?

Gruss und Dank für die Antworten
Einauge

Angel21 24.03.2009 22:29
Denkst du das dein PC sauber ist? wie fühlt er sich an? hat Avira nochmal was gemeldet? Mach doch mal einen Fullscan mit Avira, wenn er nichts mehr meldet ist die Sache erledigt, weil sonst ist alles sauber.

EDIT: Hole dir Service Pack 3 bitte ^^

einauge 24.03.2009 22:39
Windows läuft normal. Ist halt nur Windows drauf..:dummguck:
avira hat nix gefunden und auch der Kasperly Online Scan war auch auch sauber.

Werde dann m al das SP3 installieren und inner Woche die Scan-Programme noch mal durchlaufen lassen.

Gute Nacht und Danke für die schnellen Antworten. :)


EDIT: Muss zugeben das SP3 war noch nie installiert, wird aber nachgeholt...

Angel21 24.03.2009 22:44
Also kann man deiner Meinung nach das Thema auf "Gelöst" setzen? :)


PS: ja SP3 unbedingt installieren (hat viele sicherheitsupdates die man braucht)


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131