bobbi Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 hallo mitglieder, mein Antivirus Program hat einen Trojaner endeckt. Wie bekomme ich den Trojaner nun weg? Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Festplatte formatieren, System neu installieren. Genauere Anleitungen (mit weniger radikalem Vorgehen) kann es u.U. dann geben, wenn du mehr Informationen lieferst. Unterschiedliche Trojaner können durchaus unterschiedliches Vorgehen verlangen. Am besten erstell ein HijackThis Logfile und stell es hier rein. Zitieren
bobbi Geschrieben 17. Mai 2009 Autor Geschrieben 17. Mai 2009 Der Name des Trojaner ist "HTML/Infected.WebPage.Gen" und er wird als gefahrenstufe niedrig eingeschätzt Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Nocheinmal: erstell bitte ein Logfile mit Hijackthis und stell es hier zur Verfügung! und er wird als gefahrenstufe niedrig eingeschätztVon wem? Zitieren
bobbi Geschrieben 17. Mai 2009 Autor Geschrieben 17. Mai 2009 (bearbeitet) von avira, aber was ist ein Logfile mit Hijackthis? Bearbeitet 17. Mai 2009 von bobbi Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Dieses Tool: http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis Etwas ältere Anleitung: http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html Zitieren
hAmst0r Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Hi, und bitte das *GESAMTE* Log hochladen und in CODE-Blöcken zur verfügung stellen! Regards, hAmst0r Zitieren
afo Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Hi, ich würd sagen, die Kiste ist kompromittiert. Da kann alles Mögliche drauf sein. Als erstes würde ich die Maschine mal von einer Boot-CD, wie der Knoppicillin-CD der c't aus scannen. Aber im Zweifel: Platt machen. Vor allem, wenn du noch Dinge wie E-Mail, Ebay, Hombanking, etc von dem Computer aus betreiben möchtest. Andreas Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Da kann alles Mögliche drauf sein. Das siehst du so durch Handauflegen? Ich warte erst mal das angeforderte Logfile ab. Zitieren
afo Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Ja, daß etwas sein könnte sehe ich durch "Handauflegen". Ich hab ja nicht gesagt, daß etwas sein muß. Ich jedenfalls halte nichts davon aus einem kompromittierten System heraus eine Analyse durchzuführen. Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Ich jedenfalls halte nichts davon aus einem kompromittierten System heraus eine Analyse durchzuführen. Um aber überhaupt erstmal festzustellen, wie sehr das System kompromittiert ist, ist hijackthis das optimale Werkzeug. Kurz: erst tiefergehende Analyse, dann Handeln. Zitieren
afo Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Ich bin doch nicht gegen eine Analyse. Ich halte nur Hijackthis im Allgemeinen nicht für das geeignete Werkzeug. Bei einfacheren Verseuchungen kann es valide Resultate liefern. Aber man sollte sich nicht ausschließlich auf dieses Tool verlassen. Dahingegen halte ich es für unerlässlich einen Scan von einem sauberen Boot-Medium aus durchzuführen. Es ist ja auch nicht so, daß der ursprüngliche Trojaner das einzige Problem ist. Wer weiß, was er als Payload mit sich bringt. Und ob das den Antivirensoftware-Herstellern schon bekannt ist. Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Ich bin doch nicht gegen eine Analyse. Ich halte nur Hijackthis im Allgemeinen nicht für das geeignete Werkzeug. Veto. So schlecht, wie du hijackthis darstellst ist es bei weitem nicht. Sicher, eine Analyse aus einem befallenen System heraus ist immer mit dem Risiko verbunden, das was übersehen wird. Jetzt muss man werten: nimmt man die Art und Weise der Fragestellung des Threaderstellers, so ist hijackthis mit der doch recht einfachen Bedienung die erste Wahl. Alles andere setzt höhere Kenntnisse voraus. Und zu einer ersten Bewertung des Verseuchungsgrades taugt ein hijackthis Log durchaus. Zitieren
afo Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Vielleicht bin ich ja auch ein wenig neurotisch. Aber ich bleibe dabei. Mindestens ein Scan von einer Boot-CD aus ist Pflicht. Und das halte ich auch für jemanden mit geringen Kenntnissen für möglich. Eventuell muß man sich eben irgendwo im Bekanntenkreis die CD von der c't besorgen. (halte ich für die einfachste Lösung). OT: Cooles Profilbild. @Chief Wiggum Zitieren
Thanks-and-Goodbye Geschrieben 17. Mai 2009 Geschrieben 17. Mai 2009 Vielleicht bin ich ja auch ein wenig neurotisch. Sagen wir so: wir haben andere Herangehensweisen. Du empfielst ein Werkzeug, dass eine Menge beseitigen kann. Ich schau lieber erstmal, was los ist und empfehle dann ein detaillierteres Vorgehen. Zitieren
VaNaTiC Geschrieben 18. Mai 2009 Geschrieben 18. Mai 2009 Als Ergänzung wollt ich kurz auf ComboFix hinweisen. Hat aus meiner Erfahrung den Scan eines befallenen Systems ganz gut im Griff. Zitieren
bobbi Geschrieben 28. Mai 2009 Autor Geschrieben 28. Mai 2009 ich habe hier den logfile, Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:41:48, on 28.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\xampp\apache\bin\apache.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\xampp\mysql\bin\mysqld.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GUI.exe C:\WINDOWS\system32\SatSrv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ICQ6.5\ICQ.exe C:\xampp\apache\bin\apache.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GUI.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{805ED26C-6B03-4F1B-9A42-974255EF05AC}: NameServer = 192.168.1.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 7023 bytes Zitieren
Raubritter Geschrieben 28. Mai 2009 Geschrieben 28. Mai 2009 Hi, das Log sieht erstmal unproblematisch aus...folgenden Eintrag kannste raushauen: R3 - URLSearchHook: (no name) - - (no file) Solltest du die Toolbar nicht freiwillig installiert haben auch noch: 02 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll und O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll Gruß Raubritter Zitieren
bobbi Geschrieben 28. Mai 2009 Autor Geschrieben 28. Mai 2009 ja danke. Mache ich. Aber komischwerweise habe ich meinen computer heute noch mal prüfen lassen und mein Antivirus Programm hat diesen Virus nicht mehr angezeigt Zitieren
Raubritter Geschrieben 28. Mai 2009 Geschrieben 28. Mai 2009 Meistens weist der von dir genannte Trojaner auf irgendeine Website hin, die mehr oder weniger verseucht ist, Hast du diese im Cache (Tempfiles oder so) dann heult AntiVir rum...also Kopf hoch, ist wahrscheinlich nicht so schlimm Gruß Raubritter Zitieren
Guybrush Threepwood Geschrieben 28. Mai 2009 Geschrieben 28. Mai 2009 also Kopf hoch, ist wahrscheinlich nicht so schlimm Ansonsten gibts halt ein Bot mehr was solls... Zitieren
schrödingers Katze Geschrieben 29. Mai 2009 Geschrieben 29. Mai 2009 Ansonsten gibts halt ein Bot mehr was solls... na da ist er ja nicht allein °__° btw wenn du meisnt du hast 1 trojaner drauf kannst du davon ausgehen das der faul ist und nicht seine ganz arbeit allein machen will und gleich noch ein paar freunde eingeladen hat, defakto dein system ist false ergo husch husch die plattn formatieren neu installieren aba nicht mit dem netzwerkverbinden sonder erst die aktuellen Updates installieren (z.B mit dem ct´Offline update) wenn du das System fertig hast mach dir ein Immage auf eine Externe Platte oder auf ein optisches Medium. und dann gehts erst wieder ins netz... so hast du zwar erst etwas mehraufwand aber am ende brauchst du nur deine Platte whipen wenn wieder was ist und spielst dein Immage wieder auba nicht vergessen das du die offlien-update-cd auch aktualisieren muss von zeit zu zeit... Achja lass mal mit nem Virenscanner deine USB Speichermedien überprüfen gibt da so kameraden die schreiben sich in den autostart des USB gerätes... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.