Trojaner TR/VB.AA

Dieses Thema Trojaner TR/VB.AA im Forum "Sonstiges rund ums Internet" wurde erstellt von hj, 1. Mai 2004.

Thema: Trojaner TR/VB.AA In meinem Netzwerk gehe ich mit einem Laptop über Lan und einem Desktop-PC über Wan an einen DSL-Router und darüber...

  1. hj
    hj
    In meinem Netzwerk gehe ich mit einem Laptop über Lan und einem Desktop-PC über Wan an einen DSL-Router und darüber ins Netz. BS ist XP Home.

    Gestern hab ich mir einen Trojaner TR/VB.AA gefangen. Bei der weiteren Überprüfung wurden noch TR/Donn:Dld.0.3 und TR/Barole.A.1 gefunden. Ich hab sie mit AntiVir pers. und mit a2 (aQuadrat) aufgespürt und entfernt. Weitere Überprüfungen mit den genannten Progs und mit adaware und Search & Destroy lassen vermuten, dass die Trojaner entfernt sind.

    Was ist jetzt zu tun? Welchen Schaden können sie in der kurzen Zeit angerichtet haben? Was ist mit Backdoors? Habe davon gehört, weiß aber kaum etwas darüber. Im Trojaner Info konnte ich nichts über die obigen Trojaner erfahren. Brauche unberdingt fachlichen Rat, um die Sicherheit meiner Rechner nicht weiter aufs Spiel zu setzen.

    Gruß
    hj
     
  2. Nur mal zu diesem Satz: Wie der Name dieser Programme schon sagt, sind diese für Ad-Ware und Spyware, jedoch nicht gegen Viren, Würmer oder Trojaner.

    Es wäre sinnvoll, mal ein vollständiges HijackThis-Log von beiden Rechnern zu posten. Zu diesem Thema gibt es einen Sticky-Thread in diesem Forum. ;)
     
  3. hj
    hj
    vollständiges HijackThis-Log

    Was ist das?

    hj


    Hab den Thread gefunden. Mache mich da erst einmal kundig.

    Auf meinen PCs gibt es z.Zt. keinerlei Probleme. Sie arbeiten wie gewünscht. Keine Probleme mit den Startseiten.

    Ich möchte gern eine Bewertung der Vorgänge, die ich schilderte, wenn das möglich ist. Inzwischen überprüfe ich die Geräte weiter. Die Progs gegen Ad Ware und Spyware habe ich vorsichtshalber zusätzlich zu den Virenscannern eingesetzt.

    Zunächst aber schon mal danke, Smartie.

    hj
     
  4. hj
    hj
    Ist dieser Aufwand in meinem Fall denn notwendig? Deuten die auf meinen PCs gefundenen Trojaner auf eine solche Gefährdung?

    hj
     
  5. Unbekannterweise, weil ich nicht weiß, worauf du dich genau beziehst: Unterschätze nie die Fähigkeiten der Schädlingsprogrammierer. ;)
     
  6. hj
    hj
    Mich beunruhigt, dass eventuell im Hintergrund spioniert wird. Denke da in erster Linie an Online Banking. Andere spektakuläre Daten finden sich auf meinen Geräten nicht.

    hj

    Hier der Check vom Laptop:

    Logfile of HijackThis v1.97.7
    Scan saved at 23:36:20, on 01.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\AMD\PowerNow!\GemServ.exe
    C:\Programme\AMD\PowerNow!\gemback.exe
    C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\RUNTOP\Cardbus WLAN Utility\WLANApp.exe
    C:\Downloads\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://focus.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~1\TRAFFICMONITOR.EXE
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - Startup: Cardbus WLAN Utility.lnk = C:\Programme\RUNTOP\Cardbus WLAN Utility\WLANApp.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07f4e72efafd2d094817/netzip/RdxIE601_de.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{49F7611C-2BDC-468E-84B3-46D364D9A461}: NameServer = 192.168.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D27ED0-7DBD-4DD2-8000-1FA29F72AA9C}: NameServer = 192.168.0.1
     
  7. Mit einem Image-Programm beschränkt sich der Aufwand auf 10 Minuten. ::) ;)

    Wenn du schon solche Sorgen vor dich her schiebst, solltest du erst recht handeln.

    Vor allem in Hinblick darauf, dass du einen Trojaner aktiv bemerkt hast, und dabei auf noch mehr Schadsoftware gestoßen bist, bei der du nicht mal weißt, wie lange diese schon auf deinem Rechner ist.

    Wie kam es eigentlich dazu? Internet Explorer und/oder Outlook (Express) in Benutzung?


    Edit: :eek: Plötzlich ist ein Log da. ;)
     
  8. hj
    hj
    IE 6.0 und OE werden genutzt. Weiß auch, wie und von welcher Seite die Lümmel stammen. Einen Moment die Maus nicht kontrolliert. Die 3 Trojaner wurden im selben Augenblick gemeldet.

    Ich halte meine Schutzprogs immer auf dem neuesten Stand und kontrolliere meine Rechner fast täglich. Habe daher bisher äußerst selten solche gefährlichen Strolche eingefangen.

    Was sagt ein Kenner zu meinem Log? Nach Lsass hab ich gegoogelt. Bin aber nicht viel schlauer geworden.

    hj

    Zitat Smartie: Wenn du schon solche Sorgen vor dich her schiebst, solltest du erst recht handeln.

    Ein Image nützt jetzt ja nichts mehr,weil keins vom sauberen System existiert.
    Also Neuinstallation? Hab ich schon früher gemacht, nutze meine Zeit aber lieber für Schöneres.
     
  9. Moin,

    deine LOG ist OK und lsass gehört auch zum System. Also nix drauf, was unbedingt runter muss.
     
Die Seite wird geladen...

Trojaner TR/VB.AA - Ähnliche Themen

Forum Datum
Bundeskriminalamt Trojaner Viren, Trojaner, Spyware etc. 21. Nov. 2014
Windows 7 Trojaner?? Windows 7 Forum 22. Okt. 2014
Trojaner/vius ? Windows 8 Forum 15. Aug. 2013
Recovery CD bei Trojaner erstellen? Windows 7 Forum 7. Aug. 2011
Antispyware Virus Trojaner Bitte Hilfe... Firewalls & Virenscanner 5. Mai 2010