chuchu
2005-05-16, 03:05:44
XP mit Service Pack 1, auf dem neusten Stand.
Diese Trojaner haben sich ohne das ich etwas tun konnte einfach installiert.
Plötzlich schloss sich der IE und ich hatte eine m00.exe auf dem Desktop und eine andere Startseite.
Ich habe dann Antivir drüber laufen lassen und es fand diese "bösen" Einträge:
winloadhh.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Smal.MJ.2.B
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
classload.jar-7c332598-5cf7598e.zip
[FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
WURDE GELÖSCHT!
?ounter.jar-5a018e33-348c9fa1.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\user\Desktop
m00.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.asy.2
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81EVGXUF
prompt[1].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
WURDE GELÖSCHT!
webb[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.asy.2
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF
prompt[2].php
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WL6RKXYZ
7[1].ani
[FUND!] Ist das Trojanische Pferd TR/Exploit.MS05-002.Ani.A
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAW9ANF7
prompt[3].php
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
WURDE GELÖSCHT!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32
iesprt.sys
[FUND!] Ist das Trojanische Pferd TR/Spy.Banker.JK.4
WURDE GELÖSCHT!
iesprt.sys
[FUND!] Ist das Trojanische Pferd TR/Spy.Banker.JK
WURDE GELÖSCHT!
C:\WINDOWS\system32\Services\{89708E0E-41AE-4645-BABD-E7D9F35E0C15}
SECURITY.DLL
[FUND!] Ist das Trojanische Pferd TR/WebSearch.I
Konnte nicht gelöscht werden!
SECURITY.EXE
[FUND!] Ist das Trojanische Pferd TR/WebSearch.I
Konnte nicht gelöscht werden!
SVCHOST.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.2
Konnte nicht gelöscht werden!
SVCHOST.EXE
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN
Konnte nicht gelöscht werden!
SVCHOST32.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.3
Konnte nicht gelöscht werden!
Nach Neustart und erneutem Scann fand Antivir nichts mehr.
Auch Hijackthis konnte nichts mehr finden. Das System läuft normal.
Kann ich jetzt sicher sein, dass der ganze Müll weg ist ? (Registry ?)
Diese Trojaner haben sich ohne das ich etwas tun konnte einfach installiert.
Plötzlich schloss sich der IE und ich hatte eine m00.exe auf dem Desktop und eine andere Startseite.
Ich habe dann Antivir drüber laufen lassen und es fand diese "bösen" Einträge:
winloadhh.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Smal.MJ.2.B
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
classload.jar-7c332598-5cf7598e.zip
[FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F
WURDE GELÖSCHT!
?ounter.jar-5a018e33-348c9fa1.zip
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0016
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\user\Desktop
m00.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.asy.2
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81EVGXUF
prompt[1].htm
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
WURDE GELÖSCHT!
webb[1].exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.asy.2
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF
prompt[2].php
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WL6RKXYZ
7[1].ani
[FUND!] Ist das Trojanische Pferd TR/Exploit.MS05-002.Ani.A
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XAW9ANF7
prompt[3].php
[FUND!] Enthält Signatur des HTML-Scriptvirus HTML/IstBar.A.1
WURDE GELÖSCHT!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32
iesprt.sys
[FUND!] Ist das Trojanische Pferd TR/Spy.Banker.JK.4
WURDE GELÖSCHT!
iesprt.sys
[FUND!] Ist das Trojanische Pferd TR/Spy.Banker.JK
WURDE GELÖSCHT!
C:\WINDOWS\system32\Services\{89708E0E-41AE-4645-BABD-E7D9F35E0C15}
SECURITY.DLL
[FUND!] Ist das Trojanische Pferd TR/WebSearch.I
Konnte nicht gelöscht werden!
SECURITY.EXE
[FUND!] Ist das Trojanische Pferd TR/WebSearch.I
Konnte nicht gelöscht werden!
SVCHOST.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.2
Konnte nicht gelöscht werden!
SVCHOST.EXE
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.VN
Konnte nicht gelöscht werden!
SVCHOST32.DLL
[FUND!] Enthält Signatur des Droppers DR/Agent.DF.3
Konnte nicht gelöscht werden!
Nach Neustart und erneutem Scann fand Antivir nichts mehr.
Auch Hijackthis konnte nichts mehr finden. Das System läuft normal.
Kann ich jetzt sicher sein, dass der ganze Müll weg ist ? (Registry ?)