 | Sie betrachten gerade: Der trojanische Hengst
|
 | 
03.06.2009, 14:44
| Der trojanische Hengst
#1 | | Neuer Benutzer
Registriert seit: 03.06.2009
Beiträge: 5
|  Der trojanische Hengst
Der trojanische Hengst
Avira hat uns angezeigt, dass wir uns einen Trojaner gefangen haben ( TR/Skintrim.Bay.2 ). Wir haben Avira mit der Löschung beauftragt. Anschließend haben wir eine Systemprüfung gemacht, mit dem Ergebnis „Kein Befund“. Können wir sicher sein, dass der Trojaner wirklich entfernt wurde, und wenn nicht, wie oder womit kann man solche lästigen Störenfriede aufspüren und vernichten?
Sonne zum Gruß
Roland
| |
03.06.2009, 14:55
| Der trojanische Hengst
#2 | | Erfahrener Benutzer
Registriert seit: 26.03.2008
Beiträge: 2.188
|
Am besten du postet mal dein Hijackthis.
Wenn du ein 32 Bit System hasst ist Threatfire zu jedem Antivirus eine gute ergänzung weil es nicht wie ein normales Antivirus arbeitet sondern auf die Art und Weise wie sich ein Programm verhält achtet.
Hijckthis + Anleitung : http://www.computerguard.de/hijackthis-vt2888.html
Threatfire: http://www.threatfire.com/de/files/tfinstall.exe
Bei Threafire drauf achten das man ganz am anfang updaten sollte man sollte ca. jeden 2ten tag Threatfire Updaten.
| |
03.06.2009, 16:21
| Der trojanische Hengst
#3 | | Neuer Benutzer Themenstarter
Registriert seit: 03.06.2009
Beiträge: 5
|
HijackThislässt sich bei mir nie starten! wieso? Bei mir wird immer angezeigt, dass eine bestimmte DLL Datei fehlt (MSVBVM60.DLL), um dieses Programm zu öffnen! Auf meinem virtuellen Computer funktioniert es, aber auf dem richtigen nicht. Kann es an irgendeiner besonderen Einstellung liegen? (Meine Automatischen Updates sind deaktiviert!
| |
03.06.2009, 18:51
| Der trojanische Hengst
#5 | | Super-Moderator
Registriert seit: 17.10.2007 Ort: NIX DO
Beiträge: 16.371
|
Hi,
in einem anderen Board hast du schon die gleiche Vorgehensweise erhalten. Der Trojaner hat vermutlich ein paar Systemdateien verändert. Diese wurden mit gelöscht. Wechsel in den abgesicherten Modus und wende Combofix (Link und Anleitung in meiner Sig.) an. Logfile posten.
Gruss
| |
03.06.2009, 18:53
| Der trojanische Hengst
#6 | | Drift-King
Registriert seit: 21.07.2007 Ort: Köln
Beiträge: 3.073
|
Hi
Außerdem in dem abgesicherten modus einen online scan machen z.b mit Kaspersky und ebenfalls das ergebnis uns posten/mitteilen
| |
03.06.2009, 20:29
| Der trojanische Hengst
#7 | | Neuer Benutzer Themenstarter
Registriert seit: 03.06.2009
Beiträge: 5
|
Hallo Jungs,
Wir haben jetzt mit Hijckthis ein Protokoll erstellt.
Was gehört da nicht rein? Code: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:43, on 03.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\Galaxia\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Virtual PC.exe
C:\WINDOWS\system32\msiexec.exe
D:\registrybooster\Uniblue\RegistryBooster\RegistryBooster.exe
D:\HJTInstall\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] D:\registrybooster\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: RF - Formular ausfüllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.4.1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{253D6541-0D65-4486-B472-DEA7B6238C34}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{253D6541-0D65-4486-B472-DEA7B6238C34}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{253D6541-0D65-4486-B472-DEA7B6238C34}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Droppix Service - Droppix - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
--
End of file - 8790 bytes | |
03.06.2009, 20:37
| Der trojanische Hengst
#8 | | Drift-King
Registriert seit: 21.07.2007 Ort: Köln
Beiträge: 3.073
|
Hi Das logfile zeigte KEINE auffäligkeiten.
Jetzt noch die anderen tipps ausführen dann sehen wir weiter  | |
 | |
| Thema: Der trojanische Hengst
|
| Themen-Optionen | Thema durchsuchen | | | | | Ansicht |  Linear-Darstellung |
Ähnliche Themen für: Der trojanische Hengst
| | Thema | Autor | Forum | Antworten | Letzter Beitrag | [FUND] Ist das Trojanische Pferd TR/Drop.Web.381.5.B
Ist das Problem mit dem Löschen behoben?
Der Suchlauf über die ausgewählten Dateien wird begonnen:
C:\hiberfil.sys
Die Datei konnte...
| lockinski | Windows XP Probleme | 1 | 13.07.2006 14:11 | Trojanische Pferde - Norton
hallo zusammen,
bin neu hier und (leider) auf eure hilfe angewiesen. schildere euch mal mein kleines großes problem:
hab ein laptop (mit xp)...
| johanna | Viren, Würmer, Spyware | 5 | 30.03.2006 11:50 |
|
