bin ich diesen trojaner nun los?!

  • #1
O

olf

Mitglied
Themenersteller
Dabei seit
13.07.2006
Beiträge
7
Reaktionspunkte
0
hallo zusammen!

ich hab mir vor kurzem einen trojaner eingefangen: TR/Drop.Zlob.RF -mist!

ich hab schnell reagiert und spybot und antivir im abgesicherten modus laufen lassen, den trojaner mit antivir gelöscht. bei einem weiteren scan findet antivir nichts mehr. für meinen viren-laien-verstand scheint das problem beseitigt zu sein. was mich aber noch verunsichert: seit dem ich den trojaner hatte, poppt beim hochfahren der windows-explorer auf und zeigt mir den system32-Ordner. es kommt mir vor als würde mir der trojaner eine lange nase zeigen!

bin ich das ding denn nun wirklich los?! oder soll ich nochmal hijackthis laufen lassen - wie ich es hier im forum so rausgelesen habe scheint das ja wichtig zu sein?
ich sitze schon in den startlöchern, den computer ganz plattzumachen, aber bis alles wieder so funzt wie jetzt brauch ich dann mindestens zwei tage arbeit.

verzeiht eventuelle laienhaftigkeit... + 1000 dank im vorraus,

olf
 
  • #2
olf schrieb:
... oder soll ich nochmal hijackthis laufen lassen - wie ich es hier im forum so rausgelesen habe scheint das ja wichtig zu sein?
Zum Vergrößern anklicken....

Mach das mal und lass das log gleich auswerten. Wenn dann was unklar ist, noch einmal posten - andernfalls (falls Du das Ding los bist) nicht vergessen, das Thema abschließen.
 
  • #3
ok, mach ich. vielen dank soweit!

olf[br][br]Erstellt am: 13.07.06 um 16:34:46
[br]ok, hijackthis is durchgenudelt, logfile hab ich auswerten lassen. sieht erstmal alles ganz gut aus! nur bei diesen dingern hier weiss ich nicht so genau:

O4 - HKLM..Run: [soundmanager] soundman.exe

O4 - HKLM..Run: [MAFWTaskbarApp] C:WINDOWSsystem32MAFWTray.exe

O23 - Service: DCPFLICS - Unknown owner - C:programmeDCPFLICSDCPFLICS.exe

hier der link zur auswertung:


spanisch kommt mir natürlich dieser system32MAFWTray.exe- Eintrag vor, zumal mein problem ja ist, dass beim neustart immer der system32-ordner im windows-explorer geöffnet wird...

also ist meine möhre nun geheilt oder wie?!?

10.000 Dank in vorraus,
olf
 
  • #5
olf schrieb:
spanisch kommt mir natürlich dieser system32\MAFWTray.exe- Eintrag vor, zumal mein problem ja ist, dass beim neustart immer der system32-ordner im windows-explorer geöffnet wird...
Zum Vergrößern anklicken....
... keine Sorge wegen dem, kuckst Du hier


BTW wie hat sich der Rechner verhalten, nachdem Du den bösen Eintrag gefixt hast (hast Du doch, oder??)?
 
  • #6
@viech:
danke für den tip! ich hab inzwischen auch schon rausgefunden, dass dieser MAFWTray.exe - eintrag mit meiner M-Audio Soundkarte zusammenhängt. Den bösen Eintrag hab ich natürlich gefixt! Mein Rechner hat sich daraufhin gar nicht verhalten, alles läuft wie vorher. Auch dieser schreckliche system32-Ordner popup beim neustart ist noch da!

@snowbird:
ok, ich arbeite das genau durch und poste die ergebnisse dann hier. danke für den tip!

bis später und nochmalst vielen dank, foren sind ne tolle sache und hier fühl ich mich sehr gut beraten!
thx,

olf
 
  • #7
olf schrieb:
Den bösen Eintrag hab ich natürlich gefixt! Mein Rechner hat sich daraufhin gar nicht verhalten, alles läuft wie vorher. Auch dieser schreckliche system32-Ordner popup beim neustart ist noch da!
Zum Vergrößern anklicken....

hijackthis fixt nur die registry-einträge zu dem bösewicht. du mußt natürlich die dateien auch löschen, oder das hijackthis machen lassen (ist unter dem button open misc tool section zu finden) ...

greetz

hugo
 
  • #8
hallo ihr lieben.

aaaalso:

Mal das bitte genauestens abbarbeiten... Und deine Ergebnisse hier mit rein posten.
Zum Vergrößern anklicken....

und hier die ergebnisse:



diese escan suchergebnisse habe ich per killbox gelöscht:

Fri Jul 14 20:32:33 2006 => Offending Folder found: C:\WINDOWS\system32\1024
Fri Jul 14 20:32:33 2006 => Object smitfraud Browser Hijacker in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Jul 14 20:32:33 2006 => Offending file found: C:\WINDOWS\system32\ot.ico
Fri Jul 14 20:32:33 2006 => System found infected with smitfraud Browser Hijacker (ot.ico)! Action taken: Keine Aktion vorgenommen.

Fri Jul 14 20:32:39 2006 => Offending file found: C:\Dokumente und Einstellungen\florian\Favoriten\antivirus test online.url
Fri Jul 14 20:32:39 2006 => System found infected with smitfraud Browser Hijacker (antivirus test online.url)! Action taken: Keine Aktion vorgenommen.

Fri Jul 14 20:32:43 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Fri Jul 14 20:32:43 2006 => Object wareout Adware in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.



diese infizierten dateien hat escan gefunden und selbst gelöscht:

Fr Jul 14 22:05:34 2006 => Datei wird gescannt C:\WINDOWS\Downloaded Program Files\on.exe
Fr Jul 14 22:05:34 2006 => Datei infiziert mit Trojan-Downloader.Win32.Small.amb. Vorgenommen Aktion: Datei gelöscht!

Fr Jul 14 22:26:53 2006 => Datei wird gescannt C:\WINDOWS\system32\i
Fr Jul 14 22:26:53 2006 => Datei infiziert mit Trojan-Downloader.BAT.Ftp.ab. Vorgenommen Aktion: Datei gelöscht!



danach hab ich hijackthis durchgeführt und das logfile auswerten lassen. scheint mir alles in ordnung zu sein. hier der link zur auswertung:





@ hugo:
hijackthis fixt nur die registry-einträge zu dem bösewicht. du mußt natürlich die dateien auch löschen, oder das hijackthis machen lassen (ist unter dem button open misc tool section zu finden) ...
Zum Vergrößern anklicken....

nach der alten hijackthis-auswertung ist dies der bösewicht, den ich nur gefixt, nicht aber gelöscht habe:

O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

diese datei gibt es nicht mehr, vielleicht ist sie durch irgendeine meiner zahlreichen anti-viren maßnahmen gelöscht worden?!



soweit, so gut... jetzt ist doch alles sauber, oder? ???

danke für die hilfe,

olf
 
  • #9
irgendwer...? :-\
 
  • #10
olf schrieb:
soweit, so gut... jetzt ist doch alles sauber, oder?  ???
Zum Vergrößern anklicken....

wenn die scanner nichts mehr finden, könnte der spuk vorbei sein. wobei man letztendlich nicht 100% garantieren kann, ob nicht doch noch was auf der kiste drauf ist. letztendlich solltest du dir aber auch gedanken machen, wie die dinger auf das system gekommen sind, also mal dein surfverhalten checken, sonst hast du ruck zuck wieder dieselben probleme an bord ...

greetz

hugo
 
  • #11
danke, hugo!

leider weiss ich nur zu genau, wann der bösewicht auf meinen rechner gelangt ist. ich habe EINMAL meine prinzipien in sachen sicherheit über bord geworfen... einaml zu viel. das passiert mir nicht noch mal!

ich werd ab und an mal wieder scannen und bin jetzt erstmal guter hoffnung!

der thread wird geschlossen!

aktenzeichen GELÖST! mml

nochmal vielen dank an alle für die super hilfe!

olf
 
  • #12
als kleines dankeschön an alle, die mir geholfen haben hier ein link zu einem lustigen filmchen von mir:



dankedanke,
olf
 
Thema:

bin ich diesen trojaner nun los?!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben