Trojanisches Pferd TR/Spy.436

    • swizz
      swizz
      Bronze
      Dabei seit: 02.03.2006 Beiträge: 3.427
      Antivir hat bei mir auf einem USB-Stick das Trojanische Pferd TR/Spy.436 gefunden. Ich habe AntiVir gesagt er soll es löschen und dachte die Sahe wäre damit erledigt.

      Ich habe dann kurz danach folgende Email erhalten.
      ____________________
      This is the mail system at host ns3.proserve.nl.

      I'm sorry to have to inform you that your message could not
      be delivered to one or more recipients. It's attached below.

      For further assistance, please send mail to postmaster.

      If you do so, please include this problem report. You can
      delete your own text from the attached returned message.

      The mail system

      <m.christiaanse@agpo.nl>: host mail.agpo.nl[213.197.9.246] said: 554
      <m.christian@gmx.at>: Sender address rejected: Please see
      http://spf.pobox.com/why.html?sender=m.christian%40gmx.at&ip=212.204.198.61&receiver=agpomta
      (in reply to RCPT TO command)

      ______________

      Das sieht für mich so aus, als hätte ich versucht eine Email an "m.christiaanse@agpo.nl" zu schicken. Die Adresse scheint es aber nicht zu geben und ich habe da auch definitiv keine Email hingeschickt. Kann es sein, dass der Trojaner da irgendwie für verantwortlich ist?

      Als ich den Stick das nächste mal nbenutzen wollte, hat er den Trojaner aufs neue erkannt obwohl ich AntiVir eigentlich gesagt hatte er soll ihn löschen.
  • 4 Antworten
    • zahralinski
      zahralinski
      Bronze
      Dabei seit: 10.11.2007 Beiträge: 520
      hijackthis runterladen und logfile hier posten!
    • swizz
      swizz
      Bronze
      Dabei seit: 02.03.2006 Beiträge: 3.427
      Laut der Auswertung auf der Seite ist alles ok? Kann ich meinen PC damit dann als Sicher ansehen? Wie bekomme ich denn dann den Trojaner vom Stick runter? Muss ich den dazu formatieren? Die Daten darauf würde ich gerne behalten.

      ______________________________________________
      Logfile of HijackThis v1.99.1
      Scan saved at 6:26:29 PM, on 01/29/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Programme\Java\jre1.5.0\bin\jusched.exe
      C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Programme\Synaptics\SynTP\SynTPLpr.exe
      C:\Programme\Synaptics\SynTP\SynTPEnh.exe
      C:\Programme\Launch Manager\QtZgAcer.EXE
      D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Acer\eManager\anbmServ.exe
      D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
      D:\Programme\Mozilla\Firefox\firefox.exe
      D:\Programme\security\hijackthis\HijackThis.exe

      O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
      O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
      O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - d:\Programme\poker\UltimateBet\UltimateBet.exe
      O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - d:\Programme\poker\UltimateBet\UltimateBet.exe
      O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\Poker\PartyGaming\PartyPoker\RunApp.exe
      O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - d:\Programme\Poker\PartyGaming\PartyPoker\RunApp.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
      O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
      O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
      O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - D:\Programme\PostgreSQL\8.2\bin\pg_ctl.exe
    • zahralinski
      zahralinski
      Bronze
      Dabei seit: 10.11.2007 Beiträge: 520
      Also im Logfile sehe ich jetzt auch nichts auffallendes.

      Zur Sicherheit würde ich mal Kaspersky Anti-Virus, von Kaspersky.de runterladen und Antivir deinstallieren und mal den Kaspersky drauf machen und einen Komplett Scan laufen lassen.

      Antivir hat das Problem das es erst die Dateien scant, wenn Sie auf die Festplatte schreibt. Da ist es aber schon zu spät.

      Zusätzlich würde ich noch cleanup! laufen lassen und dort auch die prefatch Dateien löschen lassen.

      Die Mail sieht irgendwie schwer nach Malware oder aber Trojaner aus, man könnte jetzt noch mit ethereal mal den Netzwerkverkehr beobachten, dass allerdings zu erklären wird was schwierig :)

      netstat -a könnte dir noch offene Ports anzeigen die du dann mal kontrollieren könntest was die genau machen!
    • swizz
      swizz
      Bronze
      Dabei seit: 02.03.2006 Beiträge: 3.427
      Danke für die Hilfe, sind die Programm die du genannt hast alle Freeware?

      Wie kontrolliere ich denn die Ports, die mir Netstat -a anzeigt?

      Ich habe jetzt mit AntiVir noch mal eine komplette Prüfung gemacht und er hat eine Warnung entdeckt, aber diese nicht näher spezifiziert. Ist das ein Grund sich sorgen zu machen?