ComputerBase Menü
Aktuelles

Trojanisches Pferd

F

Fr3eZeD

Cadet 3rd Year
Registriert
Juni 2007
Beiträge
54
Hi,
ich habe gerade einen Routine-Scan gemacht und nun kam plötzlich folgende Meldung von Antivir:

http://img186.imageshack.us/my.php?image=trojanrw2.jpg

Wollte die Datei auch sofort auf Virustotal und Jotti hochladen was aber anscheinend nicht geht, weil jotti gerade überlastet ist und Virustotal mir folgende Fehlermeldung beim hochladen ausspuckt: "0 bytes size received / Se ha recibido un archivo vacio".
Die ".tmp" Datei ist nur 861 kb groß.

Bin mir nicht ganz sicher ob es nur eine Fehlermeldung von Antivir ist,deshalb frage ich lieber mal hier nach. Bedanke mich für eure Hilfe.

mfG
 
So, hier ist's

Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:01:33, on 21.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\CTHELPER.EXE
D:\Programme\Spamihilator\spamihilator.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
d:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
d:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Programme\Xfire\xfire.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\BOINC\boincmgr.exe
D:\Programme\BOINC\boinc.exe
D:\Programme\BOINC\projects\www.worldcommunitygrid.org\wcg_faah_autodock_5.42_windows_intelx86
C:\WINDOWS\explorer.exe
D:\Programme\Sandboxie\SbieSvc.exe
D:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [Spamihilator] "D:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BOINC Manager.lnk = D:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15034/CTPID.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 7045 bytes
 
Zuletzt bearbeitet:
Hallo,
dein Logfile zeigt nichts verdächtiges.
Vielleicht ist er ja schon in Quarantäne oder wurde geblockt bzw. gelöscht.

Hier im AntiVir Forum: Klick
gehts um den gleichen Trojaner. Ist allerdings schon anfang 2007 geschrieben. Vielleicht hat dein AntiVir ihn schon geblockt.

thomas28
 
Ja, ich hab die .tmp Datei vorsichtshalber schon in Quarantäne bei Antivir verschoben.
Werde dann mal im abgesicherten Modus CCleaner laufen lassen.
 
@Fr3eZeD
Der CCleaner wird dein Quarantäne-Verzeichnis nicht durchputzen. Wohl aber das Temp-Verzeichnis indem AntiVir den Virus ursprünglich gefunden hat... :rolleyes: Bislang wurde nur der Code heruntergeladen, aber (noch) nicht aktiviert. Imo ist dein (gepostetes) Log sauber. "Boogeyman" Tipp war der Beste von allen :)
 
Huch, stimmt :freak:
Soll ich die Datei direkt aus der Quarantäne löschen oder wiederherstellen und dann CCleaner im abgesicherten Modus laufen lassen? :stacheln:
 
Leer doch den Temp-Ordner so, dafür brauchst Du auch kein CCleaner.

Dort sind sowieso keine Dateien die benötigt werden.
 
Ok,habs gelöscht .
Danke für eure Aufmerksamkeit und Hilfe :)
 
Und was machen wir wenn die Datei in Benutzung ist?

Den CCleaner als "blöde" Idee hinstellen ist wohl nicht ganz richtig. Schließlich weis der Cleaner, sorry, im Gegensatz zum unbedarften User, wo er was löschen darf. Und bei mir hat er das bislang gut gemacht...
 
Wenn man manuel den Temp-Ordner löscht, dann sieht man welche Datein in Benutzung sind und nicht gelöscht werden können - da hilft nur Unlocker.

Wenn man die Sache CCleaner anvertraut, verliert man die übersicht.
 
Wenn die Datei in der Quarantäne ist, reicht ein einfacher Klick, durch den unbedarften User auf das in schwarz geschriebene, rechteckige Feld, wo geschrieben steht löschen. Dazu braucht der unbedarfte User, keinen Cleaner. Er will den Virus loswerden und nicht seinen Datenmüll :freak:

thomas28
 
Au Backe... Nicht das das Thema beendet wäre, aber was hätte der User gemacht, wenn AntiVir, wie so oft und wie so viele andere Virenscanner auch, den Schadcode, da in Benutzung, nicht hätte löschen können?

Den Browser zu schließen. Neu, abgesichert booten, durchputzen und anschließend nach Viren zu scannen hätte das Problem wohl ebenso beseitigt. Ich bleibe dabei, das der CCleaner eher, als der unbedarfte Durchschnittsuser, weis welche Verzeichnisse er durchputzen kann. Aber ich will nicht streiten. Manchmal führen eben mehrere Wege nach Rom ;)
 
Die Idee den Temp Ordner war doch schon gut, aber das war ja selbstverständlich.

Vertraut man hier den CCleaner hat man schlechte Karten.

Spielkind, Du kannst ja mal einen Test machen.

Der Order C:\Windows\Temp wird garnicht mehr benötigt, sondern der Temp-Ordner "%USERPROFILE%\Lokale Einstellungen\Temp" und genau diesen löscht auch der Cleaner und nicht den der unter Windows ist.

Sofern der unbedarfte User nicht in den Umgebungsvariablen was gedreht hat.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Problem mit Windows Installer nach Trojaner
Antworten
16
Aufrufe
2.599
olympiakos
O
S
Unsicherheit nach keinem direkten Trojanerbefall
Antworten
11
Aufrufe
2.142
TRCHard
TRCHard
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz