WinFuture-Forum.de: Trojanisches Pferd? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Trojanisches Pferd?


#1 _masoli_

  • Gruppe: Gäste

  geschrieben 23. März 2005 - 09:44

Ich weiß nicht ob wir das hier schon hatten, die Boardsuche hat jedenfalls nichts geholfen und ich brauch dringend Hilfe.

Undzwar: AntiVir meldet beim Aufruf einer Seite das diese das Trojanische Pferd

TR/StartPage.ES

enthält.

Es soll sich im Ordner C:\Dokumente und Einstellungen\olli\Anwendungsdaten\Opera\Opera75\profile\cache4\ befinden und folgende Dateinamen haben:

OPR03N9L.HTM
OPR03NA3.HTM

Ich habe da auf Zugriff verweigern und Datei belassen geklickt. War das ein Fehler? ;D

Naja, danach hab ich dann AntiVir das Hauptprogramm durchlaufen lassen, des hat aber nichts gefunden sondern nur Tausende Warnungen ausgespuckt.
So gut wie alle komprimierten Dateien in der Driver.cab sollen fehlerhaft sein.

Danach hab ich mich mal auf die Suche nach den Dateien gemacht, wurde aber nicht fündig. Jetzt steht in der LOG von AntiVir, dass die Dateien doch gelöscht wurden.

Bitte helft mir, was soll ich machen?

Formatieren?
0

Anzeige



#2 _simcard_

  • Gruppe: Gäste

geschrieben 23. März 2005 - 09:48

bei welcher Seite? ;D
0

#3 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 23. März 2005 - 09:49

Die Datei befindet sich im Browsercache und kann von dort aus genau gar nichts ausrichten, solange sie nicht von einem Stück kaputter Software wie dem Internet Explorer etc. ausgeführt wird. Und Opera gehört ja zum Glück nicht zu dieser Kategorie ;)

Zu den CAB-Dateien, du hast doch nicht etwa eingestellt, dass AntiVir Dateien ohne Rückfrage löscht ;D
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#4 _masoli_

  • Gruppe: Gäste

geschrieben 23. März 2005 - 09:49

öhm..

war irgendwas mit desktopdesign..keine Ahnung wie die heißt, meinen Cache hab ich auch schon gelöscht ebenso wie die History.

Ehrlich gesagt: Kein Plan
0

#5 Mitglied ist offline   Elren Luthien 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.981
  • Beigetreten: 20. September 04
  • Reputation: 6
  • Geschlecht:Männlich
  • Wohnort:Zürich/Schweiz

geschrieben 23. März 2005 - 09:50

Hallo ;)

Zitat (masoli: 23.03.2005, 09:44)

Bitte helft mir, was soll ich machen?
<{POST_SNAPBACK}>

Erstmal die Heuristik in Antivir runtersstellen, dann hijackthis durchlaufen lassen, Logfile hier posten und noch einen alternativen Virenscanner wie Bitdefender durchlaufen lassen.


Edit: da waren ja wieder ein Haufen Leute schneller. ;D

Dieser Beitrag wurde von Elren Luthien bearbeitet: 23. März 2005 - 09:51


So much for dreams we see but never care to know
Your heart makes me feel
Your heart makes me moan
For always and ever, I'll never let go..."
Elrens Blog Elren auf Last.fm Elren bei SysProfile
0

#6 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 23. März 2005 - 09:50

Wie gesagt, von den Dateien geht keine Gefahr aus, simples Löschen reicht.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#7 _masoli_

  • Gruppe: Gäste

geschrieben 23. März 2005 - 09:51

Zitat (Graumagier: 23.03.2005, 09:49)

Zu den CAB-Dateien, du hast doch nicht etwa eingestellt, dass AntiVir Dateien ohne Rückfrage löscht ;D
<{POST_SNAPBACK}>


Nein habe ich nicht!
0

#8 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 23. März 2005 - 09:52

Zitat

Nein habe ich nicht!

Gut, dann wundert mich nur, wieso AntiVir die Dateien gelöscht hat.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#9 Mitglied ist offline   linksta 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.319
  • Beigetreten: 16. Dezember 04
  • Reputation: 2

geschrieben 23. März 2005 - 09:52

auch hierbei ist google der profi

hier sind viele die das selbe problem haben, wird wohl sehr beliebt sein also das problem
auf unbestimmte zeit offline
<3 Adblock
0

#10 _masoli_

  • Gruppe: Gäste

geschrieben 23. März 2005 - 09:54

Logfile of HijackThis v1.99.1
Scan saved at 09:53:43, on 23.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Aston\aston.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Aston\XP\internat.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\BinarySense\HDDlife\HDDlife.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Opera75\opera.exe
D:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.alltheweb.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.alltheweb.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.alltheweb.com
F2 - REG:system.ini: Shell=explorer.exe ,svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O4 - HKCU\..\Run: [Steam] D:\Steam\Steam.exe -silent
O4 - Startup: HDDlife.lnk = C:\Programme\BinarySense\HDDlife\HDDlife.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
0

#11 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 23. März 2005 - 09:56

Die Auswertung gibts hier, die BHOs fixen und die PFW deinstallieren, ansonsten dürfte der Rechner sauber sein.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#12 _simcard_

  • Gruppe: Gäste

geschrieben 23. März 2005 - 09:58

Zitat

C:\Programme\Sygate\SPF\smc.exe

;) naja anderes Thema ;)
dein log sieht - zumindest meiner Meinung nach (kenn mich net sooo gut damit aus) sauber aus, wüsste nur net was taskswitch.exe ist ;) genauso wie O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

Aber da wird google weiterhelfen ;D


/Edit: Graumagier war schnella :)
0

#13 _masoli_

  • Gruppe: Gäste

geschrieben 23. März 2005 - 09:58

Doofe Frage:

Was sind BHOs? ;D


Hab vorher noch nie mit dem Programm gearbeitet..


Taskswitch ist ein Powertoy von Microsoft
Und copy... ist ein tolles Programm, womit man den Kopiervorgang von Windows unterbrechen, drosseln usw. kann

Dieser Beitrag wurde von masoli bearbeitet: 23. März 2005 - 09:59

0

#14 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 23. März 2005 - 09:59

Zitat

Was sind BHOs?

Browser Helper Objects --> die geänderten Sucheinträge im Internet Explorer.

Dieser Beitrag wurde von Graumagier bearbeitet: 23. März 2005 - 09:59

"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#15 Mitglied ist offline   Elren Luthien 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.981
  • Beigetreten: 20. September 04
  • Reputation: 6
  • Geschlecht:Männlich
  • Wohnort:Zürich/Schweiz

geschrieben 23. März 2005 - 09:59

Sa mal, masoli, hast Du gar kein Service Pack für Dein XP drauf?

Dein IE ist auch veraltet. ;D

So much for dreams we see but never care to know
Your heart makes me feel
Your heart makes me moan
For always and ever, I'll never let go..."
Elrens Blog Elren auf Last.fm Elren bei SysProfile
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0