Trojanner infection

Dieses Thema im Forum "Sicherheit" wurde erstellt von zbonik, 8. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    Hallo!
    Habe ein Trojaner runtergeladen und installiert.War angeblich ein tolles Programm und bin drauf reingefallen.Natürlich ist mcaffe virus scan schon durchgelaufen und ad-aware pro findet auch keine Dateien mehr.Aber..es läuft immer noch "bravesentry2.0" und angeblich scannt meine Festplatte und findet jede menge infizierte Dateien.Was ist das für ein M... und wie werde ihm wieder los? Manuell schon alles mit Namen "bravesentry" gelöscht aber nach neustart ist alles wieder da.Bitte um Hilfe
    Viele Grüße
    Tomek
     
  2. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    poste mal einen Link zu deinem HijackThis Log wie hier beschrieben.

    Außerdem machst du mal folgendes und postest die vier Logfiles, nur die Dateien des letzten Monats abkopieren!



    Grüße Jasager
     
  3. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    logfile als anhang
     

    Anhänge:

  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    sieht nicht gut aus, überprüfe mal folgende Dateien(falls vorhanden):
    C:\WINDOWS\SYSTEM32\nkunpack.dll
    C:\WINDOWS\SYSTEM32\access98.dll
    C:\\mousepad1.exe
    C:\\keyboard1.exe

    hier und poste das jeweilige Ergebnis.


    Grüße Jasager
     
  5. mroszewski

    mroszewski Viertel Gigabyte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    4.208
    Also, im System-Ordner war fast die ganze MSBlast - Familie vertreten:

    teekids.exe

    enibiei.exe (oder wie das Ding heißt)

    msblast.exe

    und bei den Diensten: *****.exe

    Wirklich exquisit, diese Sammlung.
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @mroszewski
    ??
    Hast du irgendwelche Informationen die ich nicht habe? Im HijackThis Log kann ich derartiges nicht erkennen?


    Grüße Jasager
     
  7. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    "nur" keyboard1.exe war noch vorhanden alle anderen sind nicht mehr da
     
  8. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    ich hoffe system ist wieder clean ein problem bleibt aber :
    unter Systemsteureung-Anzeige -Desktop kann ich kein hintergrundbild ändern es bleibt diese schwarze Bild "Your computer is in danger"
    Wo in der Registry kann ich die Eigenschaften von Anzeige wieder aktivieren?
    Grüß
    Tomek
     
  9. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,

    Grüße Jasager
     
  10. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    tja sieht glaube ich nicht wirklich gut aus ,Frage ist :was nun?(außer natürlich format c: )
     

    Anhänge:

  11. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    log datei als anhang
    Viele grüße
    Tomek
     

    Anhänge:

  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das sicherste wäre Neuaufsetzen, wenn du das absolut nicht willst kannst du es mit folgendem versuchen:
    Lösche mit Killbox folgende Dateien on reboot:
    C:\Windows\0keyboard11.dat
    C:\Windows\gimmygames.dat
    C:\Windows\ms1.exe
    C:\Windows\tool4.exe
    C:\Windows\tool1.exe
    C:\Windows\toolbar.exe
    C:\Windows\country.exe
    C:\Windows\kl1.exe
    C:\Windows\tool2.exe
    C:\Windows\uniq
    C:\Windows\desktop.html
    C:\gimmysmileys1.exe
    C:\drsmartload1.exe
    C:\winstall.exe

    Edit
    Jetzt hat Bitdefender schon ein paar der Dateien entfernt, lösche noch die restlichen

    Lösche danach den Inhalt des Ordners C:\!killbox

    Außerdem postest du nochmal die Datfind.bat Logs, aber nur die von C:\Windows und von C:\, dieses mal bitte mindestens bis Anfang März zurückgehend, besser wäre einen ganzen monat.

    Außerdem gehst du mal unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info, oder ähnliches entfernen.



    Grüße Jasager
     
  13. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    Außerdem gehst du mal unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info, oder ähnliches entfernen.



    und das eben geht nicht ,schaltflache löschen ist grau
    logfile wieder dabei mehr zeigt der script nicht an
    jetzt alles ok?
    Danke für Deine Hilfe
    Grüß
    Tomek
     

    Anhänge:

  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hmm, ist der Eintrag immernoch gesperrt. Lösche mal noch die datei:
    C:\Windows\keyboard11.dat

    Außerdem fixt(Haken davor und auf "fix checked") du noch folgende Einträge mit HijackThis:
    O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
    O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
    O20 - Winlogon Notify: access98 - C:\WINDOWS\SYSTEM32\access98.dll
    O20 - Winlogon Notify: nkunpack - C:\WINDOWS\SYSTEM32\nkunpack.dll

    Dann machst du einen Neustart und postest ein neues HijackThis log.

    Außerdem wendest du mal folgenses Tool an und postest das nach "1" erstellte Logfile.
    Geht es nachdem du Punkt "2" angewendet hast den Eintrag bei Desktop anpassen>>web zu ändern?


    Grüße Jasager
     
  15. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    neue hijack logfile dabei und JA jetzt ist bei Punkt 2 alles ok Report von diesem tool auch dabei
     

    Anhänge:

  16. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    repport file als anhang
     

    Anhänge:

  17. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hast du die O20 Einträge bei HijackThis vergessen, oder kamen die wieder?

    Mach mal einen Onlinescan bei Panda und poste was gefunden wird.
    Außerdem läßt du dein System mal von ewido scannen und postest auch dort den Report.


    Grüße Jasager
     
  18. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    die 020 Eintrage kamen leider wieder panda logfile ist dabei und ewido scan läuft noch
    Grüß
    Tomek
     

    Anhänge:

  19. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    die Datei
    C:\WINDOWS\system32\nkunpack.dll
    ist ja doch vorhanden, hast du sie übersehen oder wird sie nicht angezeigt? Wenn du sie findest überprüfe sie bei virustotal.com und poste das Ergebnis (selbiges gilt für die access98.dll).

    Falls sie nicht angezeigt wird scannst du dein System mal mit F-Secure Blacklight und postest das Log (wird automatisch nach dem Scan im selben Ordner erstellt fsbl***.txt).


    Grüße Jasager
     
  20. zbonik

    zbonik Byte

    Registriert seit:
    1. Oktober 2000
    Beiträge:
    49
    Beide dateien sind nich vorhanden d.H. ich kann die nicht finden:-))
    Blacklight beta gibt`s ab 10 märz zum download gibt alternativen Download link?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen