[Windows XP-32 bit] Trojaner gefunden - Paules-PC-Forum.de

pavo · 07.10.2011, 21:14

Hallo!

Da gestern mein Google-Mail Konto plötzlich komplett leer war

(alle Mails gelöscht, aber nicht von mir), habe ich verschiedene Scans durchlaufen lassen. Alle in aktueller Version und im vollständigen Modus und in der Reihenfolge:

-Loaris Trojan Remover = 2 Obj. entdeckt
-Dr.Web Cure it! = hat nichts gefunden
-Malwarebytes = hat ebenfalls nichts gefunden
-ESet = hat 3 Obj. finden können
-Emsisoft Anti-Malware = hat 6 Obj. gefunden

Die Übeltäter die ESet entdeckt hat, wurden gelöscht, die von Emsisoft in Quarantäne verschoben. Die von Trojan Remover könnte ich nur löschen beim Kauf der Vollversion. Da aber die anderen Softwares diese zwei nicht angezeigt haben, weiss ich jetzt nicht, ob Trojan Remover eine falsche Meldung gebracht hat.

Kann ich jetzt davon ausgehen, dass mein PC wieder sauber ist, oder sollte ich noch andere Scans/Massnahmen durchführen?

Besten Dank für Eure Bemühungen.

Viele Grüsse
pavo

Hier sind die Log-Files:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cbae07aa5db6264988368584615ec191
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-10-07 02:58:43
# local_time=2011-10-07 04:58:43 (+0100, Westeuropäische Sommerzeit)
# country="Switzerland"
# lang=1031
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=8192 67108863 100 0 250 250 0 0
# compatibility_mode=9217 16777214 75 66 16525074 19957476 0 0
# scanned=78547
# found=3
# cleaned=3
# scan_time=2750
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\allerlei\SoftonicDownloader6591.exe Variante von Win32/SoftonicDownloader.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Programme\Loaris\Trojan Remover\ltr12.exe Variante von Win32/1AntiVirus Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{6898B2CD-1086-4933-943D-FBCF74AE4C41}\RP246\A0049726.exe Variante von Win32/1AntiVirus Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C

Emsisoft Anti-Malware - Version 6.0
Letztes Update: 07.10.2011 17:41:46
Scan Einstellungen:
Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An
Scan Beginn: 07.10.2011 17:45:19
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\jar_cache3406224270941249678.tmp -> game/ballgames.class gefunden: JAVA.Small!E2
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\jar_cache3406224270941249678.tmp -> game/game39fdbb1a.class gefunden: Trojan-Downloader.Java.OpenConnection!E2
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/a$1.class gefunden: Java.Trojan-Downloader.OpenConnection!E2
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/a.class gefunden: Trojan-Downloader.Java.OpenConnection!E2
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/b.class gefunden: Trojan.Java.Agent!E2
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/KAVS.class gefunden: Trojan-Downloader.Java.OpenConnection!E2
Gescannt 531762
Gefunden 6
Scan Ende: 07.10.2011 19:37:01
Scan Zeit: 1:51:42
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/b.class Quarantäne Trojan.Java.Agent!E2
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\jar_cache3406224270941249678.tmp -> game/game39fdbb1a.class Quarantäne Trojan-Downloader.Java.OpenConnection!E2
Quarantäne 6

Das Log-File von Trojan Remover habe ich leider nicht mehr. Da ich im Internet Warnungen bezüglich diesem Programm gelesen habe, habe ich es gleich entfernt. Habe aber ein Bildschirm-Print von der Scan-Meldung gemacht:

Name: riskware.x Status: Risk Tool Target: Registry: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlo...

Name: trojan.win32x.proxyFix Status: Trojan Target: Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunSOUND...

**AHT** · 08.10.2011, 14:33

Du hast eine Systemwiederherstellung gemacht. Jetzt nochmals Scan mit ESET durchführen, LOG posten.

Danach das hier tun: Hilfe!!! Alle Dateien weg nach eröffnem eines neuen Benutzerkontos

Du hattest einige in Java geschriebene Downloader auf dem Rechner.
Evtl. schlummert da noch was, was deine Scanner nicht erkennen.

pavo · 08.10.2011, 16:15

Hallo,

das LOG von ESet:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cbae07aa5db6264988368584615ec191
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-10-08 02:05:08
# local_time=2011-10-08 04:05:08 (+0100, Westeuropäische Sommerzeit)
# country="Switzerland"
# lang=1031
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=8192 67108863 100 0 983 983 0 0
# compatibility_mode=9217 16777214 75 66 16606947 20039349 0 0
# scanned=83834
# found=0
# cleaned=0
# scan_time=4062

Werde nun noch das andere durchführen.

Mfg
pavo

pavo · 08.10.2011, 17:16

Hallo,

nun noch das andere:

File-Upload.net - Processes.txt
File-Upload.net - Drivers.txt
File-Upload.net - Eventlog.txt
File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - Hidden.txt
File-Upload.net - MD5.txt
File-Upload.net - Modules.txt
File-Upload.net - ppFiles.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Warnings.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Threads.txt

Vielen Dank für Eure Mühe.

Mfg
pavo

**AHT** · 08.10.2011, 17:44

LOGs sehen OK aus, bis auf das hier:

Code:

8.10.2011 12:57 Uhr 11s 
Record #113420
Computername->SIEMENS-FUJITSU
atapi:
Error
Das Gerät \Device\Ide\IdePort1 hat innerhalb der Fehlerwartezeit nicht geantwortet.

Das scheint eines deiner CD-ROM Laufwerke zu sein. Das scheint nicht korrekt zu funktionieren.

Desweiteren arbeitest du noch mit Servicepack2 - das solltest du aktualisieren.

pavo · 08.10.2011, 19:19

Hallo,

ja stimmt, eines meiner CD-Rom Laufwerke ist defekt. Wollte dies schon länger mal auswechseln.....

Werde das SP aktualisieren.

Kannst Du dir erklären, wieso meine Mails im Google-Mail Konto plötzlich alle weg waren? Könnte dies ev. was mit den gefundenen Downloader (Trojaner) zu tun haben, oder eher nicht?

Mfg
pavo

**AHT** · 08.10.2011, 19:27

Kann ich nicht genau sagen - Systemwiederherstellung wurde ja durchgeführt.
Fehlen die immer noch?

**AHT** · 08.10.2011, 19:30

Das defekte Laufwerk würde ich baldmöglichst ausbauen - verlangsamt dein System. Am Kabel scheint der Defekt nicht zu liegen, Laufwerk ist höchstwahrscheinlich kaputt.

pavo · 08.10.2011, 19:36

Hallo,

habe mich gerade bei meinem Google-Mail-Konto angemeldet und es ist noch immer alles leer, leider.

Ev. ein technischer Fehler von Google, oder könnte jemand auch mein Pw geknackt haben oder Zugang dazu gehabt haben, als ich mal mit WLAN (mit einem anderen PC) im Mail-Konto war?

Habe das Pw auf jeden Fall geändert.

MfG
pavo

**AHT** · 08.10.2011, 20:01

Die Sachen, die gefunden wurden, sind meiner Meinung nach nicht daran Schuld. Was da sonst noch auf dem Rechner gewesen ist, kann man nicht mehr sagen.
Dass du das Passwort geändert hast, ist auf jeden Fall richtig. Es kann durchaus sein, dass dein Passwort von einem anderen Rechner abgegriffen wurde.

pavo · 08.10.2011, 20:25

Hallo,

nun scheint ja alles wieder ok zu sein. Bin echt froh.
Vielen, vielen Dank für Deine schnelle Hilfe und Zeit!!!!

Kann ich die Download-Files von File-Upload.net eigentlich wieder löschen, oder brauchst Du die noch?

MfG
pavo

PS. Finde ich übrigens super, wie Ihr euch für die Probleme anderer einsetzt!!!!

**AHT** · 08.10.2011, 21:08

Die Dateien kannst du wieder löschen.

07.10.2011, 21:14	#1 (Direktlink)
pavo Erfolgreich angemeldet Registriert seit: 03.08.2010 Beiträge: 22	Trojaner gefunden Hallo! Da gestern mein Google-Mail Konto plötzlich komplett leer war (alle Mails gelöscht, aber nicht von mir), habe ich verschiedene Scans durchlaufen lassen. Alle in aktueller Version und im vollständigen Modus und in der Reihenfolge: -Loaris Trojan Remover = 2 Obj. entdeckt -Dr.Web Cure it! = hat nichts gefunden -Malwarebytes = hat ebenfalls nichts gefunden -ESet = hat 3 Obj. finden können -Emsisoft Anti-Malware = hat 6 Obj. gefunden Die Übeltäter die ESet entdeckt hat, wurden gelöscht, die von Emsisoft in Quarantäne verschoben. Die von Trojan Remover könnte ich nur löschen beim Kauf der Vollversion. Da aber die anderen Softwares diese zwei nicht angezeigt haben, weiss ich jetzt nicht, ob Trojan Remover eine falsche Meldung gebracht hat. Kann ich jetzt davon ausgehen, dass mein PC wieder sauber ist, oder sollte ich noch andere Scans/Massnahmen durchführen? Besten Dank für Eure Bemühungen. Viele Grüsse pavo Hier sind die Log-Files: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=cbae07aa5db6264988368584615ec191 # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=true # antistealth_checked=true # utc_time=2011-10-07 02:58:43 # local_time=2011-10-07 04:58:43 (+0100, Westeuropäische Sommerzeit) # country="Switzerland" # lang=1031 # osver=5.1.2600 NT Service Pack 2 # compatibility_mode=8192 67108863 100 0 250 250 0 0 # compatibility_mode=9217 16777214 75 66 16525074 19957476 0 0 # scanned=78547 # found=3 # cleaned=3 # scan_time=2750 C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\allerlei\SoftonicDownloader6591.exe Variante von Win32/SoftonicDownloader.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Programme\Loaris\Trojan Remover\ltr12.exe Variante von Win32/1AntiVirus Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\System Volume Information\_restore{6898B2CD-1086-4933-943D-FBCF74AE4C41}\RP246\A0049726.exe Variante von Win32/1AntiVirus Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C Emsisoft Anti-Malware - Version 6.0 Letztes Update: 07.10.2011 17:41:46 Scan Einstellungen: Scan Methode: Detail Scan Objekte: Rootkits, Speicher, Traces, C:\ Archiv Scan: An ADS Scan: An Scan Beginn: 07.10.2011 17:45:19 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\jar_cache3406224270941249678.tmp -> game/ballgames.class gefunden: JAVA.Small!E2 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\jar_cache3406224270941249678.tmp -> game/game39fdbb1a.class gefunden: Trojan-Downloader.Java.OpenConnection!E2 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/a$1.class gefunden: Java.Trojan-Downloader.OpenConnection!E2 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/a.class gefunden: Trojan-Downloader.Java.OpenConnection!E2 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/b.class gefunden: Trojan.Java.Agent!E2 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/KAVS.class gefunden: Trojan-Downloader.Java.OpenConnection!E2 Gescannt 531762 Gefunden 6 Scan Ende: 07.10.2011 19:37:01 Scan Zeit: 1:51:42 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\4014 480-231ae8b6 -> bpac/b.class Quarantäne Trojan.Java.Agent!E2 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\jar_cache3406224270941249678.tmp -> game/game39fdbb1a.class Quarantäne Trojan-Downloader.Java.OpenConnection!E2 Quarantäne 6 Das Log-File von Trojan Remover habe ich leider nicht mehr. Da ich im Internet Warnungen bezüglich diesem Programm gelesen habe, habe ich es gleich entfernt. Habe aber ein Bildschirm-Print von der Scan-Meldung gemacht: Name: riskware.x Status: Risk Tool Target: Registry: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlo... Name: trojan.win32x.proxyFix Status: Trojan Target: Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunSOUND...

08.10.2011, 14:33	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Du hast eine Systemwiederherstellung gemacht. Jetzt nochmals Scan mit ESET durchführen, LOG posten. Danach das hier tun: Hilfe!!! Alle Dateien weg nach eröffnem eines neuen Benutzerkontos Du hattest einige in Java geschriebene Downloader auf dem Rechner. Evtl. schlummert da noch was, was deine Scanner nicht erkennen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.10.2011, 17:44	#5 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	LOGs sehen OK aus, bis auf das hier: Code: 8.10.2011 12:57 Uhr 11s Record #113420 Computername->SIEMENS-FUJITSU atapi: Error Das Gerät \Device\Ide\IdePort1 hat innerhalb der Fehlerwartezeit nicht geantwortet. Das scheint eines deiner CD-ROM Laufwerke zu sein. Das scheint nicht korrekt zu funktionieren. Desweiteren arbeitest du noch mit Servicepack2 - das solltest du aktualisieren. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.10.2011, 19:27	#7 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Kann ich nicht genau sagen - Systemwiederherstellung wurde ja durchgeführt. Fehlen die immer noch? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.10.2011, 19:30	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Das defekte Laufwerk würde ich baldmöglichst ausbauen - verlangsamt dein System. Am Kabel scheint der Defekt nicht zu liegen, Laufwerk ist höchstwahrscheinlich kaputt. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.10.2011, 16:15	#3 (Direktlink)
pavo Erfolgreich angemeldet Registriert seit: 03.08.2010 Beiträge: 22	Hallo, das LOG von ESet: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=cbae07aa5db6264988368584615ec191 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=true # antistealth_checked=true # utc_time=2011-10-08 02:05:08 # local_time=2011-10-08 04:05:08 (+0100, Westeuropäische Sommerzeit) # country="Switzerland" # lang=1031 # osver=5.1.2600 NT Service Pack 2 # compatibility_mode=8192 67108863 100 0 983 983 0 0 # compatibility_mode=9217 16777214 75 66 16606947 20039349 0 0 # scanned=83834 # found=0 # cleaned=0 # scan_time=4062 Werde nun noch das andere durchführen. Mfg pavo

08.10.2011, 17:16	#4 (Direktlink)
pavo Erfolgreich angemeldet Registriert seit: 03.08.2010 Beiträge: 22	Hallo, nun noch das andere: File-Upload.net - Processes.txt File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Warnings.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt Vielen Dank für Eure Mühe. Mfg pavo

08.10.2011, 19:19	#6 (Direktlink)
pavo Erfolgreich angemeldet Registriert seit: 03.08.2010 Beiträge: 22	Hallo, ja stimmt, eines meiner CD-Rom Laufwerke ist defekt. Wollte dies schon länger mal auswechseln..... Werde das SP aktualisieren. Kannst Du dir erklären, wieso meine Mails im Google-Mail Konto plötzlich alle weg waren? Könnte dies ev. was mit den gefundenen Downloader (Trojaner) zu tun haben, oder eher nicht? Mfg pavo

08.10.2011, 19:36	#9 (Direktlink)
pavo Erfolgreich angemeldet Registriert seit: 03.08.2010 Beiträge: 22	Hallo, habe mich gerade bei meinem Google-Mail-Konto angemeldet und es ist noch immer alles leer, leider. Ev. ein technischer Fehler von Google, oder könnte jemand auch mein Pw geknackt haben oder Zugang dazu gehabt haben, als ich mal mit WLAN (mit einem anderen PC) im Mail-Konto war? Habe das Pw auf jeden Fall geändert. MfG pavo

08.10.2011, 20:01	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Die Sachen, die gefunden wurden, sind meiner Meinung nach nicht daran Schuld. Was da sonst noch auf dem Rechner gewesen ist, kann man nicht mehr sagen. Dass du das Passwort geändert hast, ist auf jeden Fall richtig. Es kann durchaus sein, dass dein Passwort von einem anderen Rechner abgegriffen wurde. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

08.10.2011, 20:25	#11 (Direktlink)
pavo Erfolgreich angemeldet Registriert seit: 03.08.2010 Beiträge: 22	Hallo, nun scheint ja alles wieder ok zu sein. Bin echt froh. Vielen, vielen Dank für Deine schnelle Hilfe und Zeit!!!! Kann ich die Download-Files von File-Upload.net eigentlich wieder löschen, oder brauchst Du die noch? MfG pavo PS. Finde ich übrigens super, wie Ihr euch für die Probleme anderer einsetzt!!!! Geändert von pavo (08.10.2011 um 20:36 Uhr)

08.10.2011, 21:08	#12 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Die Dateien kannst du wieder löschen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Trojaner gefunden	Unregistriert	Viren-Forum	17	24.10.2009 12:01
Trojaner gefunden!???	Paix	Viren-Forum	3	25.06.2007 18:53
Viren und Trojaner gefunden !	Serena1980	Viren-Forum	25	21.04.2007 00:10
Virus/Trojaner gefunden!	N@D!NE	Viren-Forum	2	16.11.2006 23:20