  | |
| Trojaner Generic2.JDK und andere | |
|
Von: Kat171 * am 27.06.2007 Kann man da was machen, ohne platt machen?  Das Trojanische Pferd Generic2.JDK sitzt in C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\miunst_.exe Mal dazu gesagt: beim letzten crash und neu fprmatierung habe ich 2 Partitionen erstellt: auf C: das Windows und auf D: den Rest.... Hilfe bitte | |
|
Antwort 1 von HELP am 27.06.2007 überprüfe deinen PC mit dem Freeware Online-Scanner von F-Secure. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion. Beachte bitte dabei die folgende Anleitung genau und arbeite sie unbedingt in der Reihenfolge und vollständig ab! Deaktiviere zuerst die Systemwiederherstellung von Windows. Anmerkung: Bei Windows 95, 98 und 2000 ist diese nicht vorhanden. Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien, ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner, http://www.ccleaner.com/ccdownload.asp und führe den Befehl Cleaner aus. F-Secure Online Scanner http://support.f-secure.de/ger/home/ols.shtml (Einige wenige Teile der Software sind in Englisch) Wähle die Option Vollständiger Systemscan Poste bitte auf jeden Fall den ausführlichen Scanreport von F-Secure hier! Boote jetzt den PC neu und aktiviere die Systemwiederherstellung wieder. Zum Schluss erstelle ein HijackThis-Log und poste den Logfile hier. Er liefert stehts wertvolle Informationen über den Zustand deines Systems und kann das eine oder andere Problem auch lösen. Hier der Link zu dem Tool http://www.hijackthis.de/ und folge den Anweisungen. Direkter Download link zum Tool http://download.hijackthis.eu/hijackthis_199.zip Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung: http://www.wintotal.de/Tipps/Eintrag.php?TID=873 oder http://www.trojaner-board.de/showthread.php?t=17493 | |
|
Antwort 2 von Kat171 * am 28.06.2007 Scanning Report Thursday, June 28, 2007 22:26:10 - 23:22:48 Computer name: LUCKY Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ D:\ Result: 3 malware found Tracking Cookie (spyware) * System (Disinfected) * System W32/Suspicious_F.gen (virus) * D:\Downloads\NICHT FREIGEGEBEN\WINRAR.V3.51+ ***\***.EXE (Submitted) Statistics Scanned: * Files: 36722 * System: 5560 * Not scanned: 3 Actions: * Disinfected: 1 * Renamed: 0 * Deleted: 0 * None: 2 * Submitted: 1 Files not scanned: * C:\PAGEFILE.SYS * C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{7F7FEBD7-EC7E-48E1-976E-85983B5D7402}.BIN * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT Options Scanning engines: * F-Secure AVP: 7.0.171, 2007-06-28 * F-Secure Blacklight: 1.0.64 * F-Secure Draco: 1.0.35, 0260-23-12 * F-Secure Libra: 2.4.2, 2007-06-28 * F-Secure Orion: 1.2.37, 2007-06-28 * F-Secure Pegasus: 1.19.0, 2007-05-28 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX * Use Advanced heuristics Hoffe es hilft erstmal... den HiJackThis-Log (ist schon gedownloaded) schick ich noch rüber ... wird aber erst morgen werden.... LG schonmal KAT | |
|
Antwort 3 von Kat171 * am 29.06.2007 Logfile of HijackThis v1.99.1 Scan saved at 21:04:03, on 29.06.2007 Platform: MSIE: Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\WINDOWS\ehome\ehSched.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\ehome\ehmsas.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Macrogaming\SweetIM\SweetIM.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Internet Download Manager\IDMan.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Download Manager\IEMonitor.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\ www.gmx.*** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.***/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.***/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.***/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.***/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {238EFEBE-1ED2-4596-A5C2-B43896A6EE41} - (no file) O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Programme\Windows Desktop Search\dsWebAllow.dll O2 - BHO: (no name) - {5D13D5C8-12F0-497A-8EA1-4E7E06AE8392} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {B07CB267-5E6F-441F-9B3C-324EFE70F897} - (no file) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe.exe" -quiet O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O4 - Global Startup: LG SyncManager.lnk = C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - ***p://support.f-secure.com/ols/fscax.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.***/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.***/binary/SolitaireShowdown.cab31267.cab O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe | |
|
Antwort 4 von HELP am 29.06.2007 diese Einträge sehen nach Reste einer alten Infektion aus: O2 - BHO: (no name) - {238EFEBE-1ED2-4596-A5C2-B43896A6EE41} - (no file) O2 - BHO: (no name) - {5D13D5C8-12F0-497A-8EA1-4E7E06AE8392} - (no file) O2 - BHO: (no name) - {B07CB267-5E6F-441F-9B3C-324EFE70F897} - (no file) Fixe diese mit dem HiJackThis-Log! Wenn der Yahoo Messenger deinstalliert ist, können auch diese beiden Einträge gefixt werden: O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (file missing) Ansonsten sehe ich keine Auffälligkeiten , ist dein Problem noch aktuell? Was war eigentlich mit der Aussage gemeint "... und andere"? | |
|
Antwort 5 von Kat171 * am 29.06.2007 denk mal, das wird sich jetzt erledigt haben.... danke nochmal für den Tipp mit dem F-Secure.... Meld mich, wenn es was neues gibt.... LG Kat | |
|
Antwort 6 von Kat171 * am 04.07.2007 Und zwar ist das: Trojanisches Pferd Small.AD in D:\Downloads..... und Trojanisches Pferd IRC/BackDoor.SdBot3.CMH Hilfeeeee bitte | |
|
Antwort 7 von Luke001 ***** am 04.07.2007 Daten sichern und System danach neu aufsetzen. Denn solch ein Backdoor ist nicht gerade die kleinste VirusArt. Mit solchen Tools wie F-Secure, wirst Du da nicht viel machen können. Auch wenn sie nicht schlecht sind. Mehr kann man da nicht mehr grossartig empfehlen. Sorry. mfg Bernd | |
|
Antwort 8 von HELP am 05.07.2007 Der/Die Trojaner ist/sind leider immernoch da..... Und zwar ist das: Trojanisches Pferd Small.AD in D:\Downloads..... und Trojanisches Pferd IRC/BackDoor.SdBot3.CMH Hilfeeeee bitte @Kat171 Das sieht nicht gerade nach einer aktiven Infektion aus! Leider hast du nicht vollen Scanreport hier eingestellt. Ist das richtig, dass beide Malwarefunde in D:\Downloads liegen, vielleicht sogar noch in der ein und selben Datei? Wenn ja, dann hast du wohl nur eine nicht so saubere Downloadquelle benützt. Könnte es sein, das du Illegale Sachen herunterlädst, siehe WINRAR.V3.51+ ***\***.EXE? | |
|
Antwort 9 von Kat171 * am 05.07.2007 ja, es liegt in 1. der Winrar - Datei + *** und 2. in AVG (mein aktuelles Antiviren Programm) + *** beides habe ich per Mail von Ihm bekommen.... was kann ich da nun machen??? Einfach die Dateien löschen?? | |
| » weitere Antworten | |
| « zurück | Antworten |
