Trojaner TR/Small.JR

3Antworten
  1. #1
    Avatar von arcados
    arcados ist offline
    Themen Starter

    Title
    Benutzer
    seit
    31.08.2006
    Beiträge
    2

    Standard Trojaner TR/Small.JR

    Hallo,

    ich habe da einen PC der mit dem Trojaner TR/Small.JR verseucht ist. Beim Hochstarten des PCs kommt die Warnmeldung von Antivir bis zu 25x und manchmal ist auch die Auslagerungsdatei weg.

    Hat jemand einen guten Rat wie man den Trojaner wegbekommt? Die angeblich verseuchte Datei ist immer C:\windows\com6.cul (in div. Groß/Kleinschreibweisen). Die angegebene Datei ist nie zu finden. (Systemdateien und versteckte werden angezeigt).

    Ad-Aware, Spybot, Antivir, Pestcontrol, E-Scan konnten bisher nicht helfen.

    Anbei mal das aktuelle Hijack log File:

    Ich hab sicher was übersehen.

    Logfile of HijackThis v1.99.1
    Scan saved at 21:18:04, on 31.08.2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\cisvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
    C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
    C:\Programme\QuickTime\qttask.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    C:\fwl\zlclient.exe
    C:\Programme\RemotelyAnywhere\RAGui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\PrintKey2000\Printkey2000.exe
    C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
    C:\hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
    O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\fwl\zlclient.exe"
    O4 - HKLM\..\Run: [RemotelyAnywhere GUI] "C:\Programme\RemotelyAnywhere\RAGui.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://hartmut-hdqa853:2000/activex/RACtrl.cab
    O20 - Winlogon Notify: RAinit - C:\WINDOWS\SYSTEM32\RAinit.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RaMaint.exe
    O23 - Service: RemotelyAnywhere - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Danke im voraus für Tipps.
    Ciao
    Arcados

  2. #2
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also das Logfile ist soweit eigentlich sauber, bis auf folgende nicht bekannte Einträge:

    Code:
    O20 - Winlogon Notify: RAinit - C:\WINDOWS\SYSTEM32\RAinit.dll 
    O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RaMaint.exe 
    O23 - Service: RemotelyAnywhere - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
    Solltest du diese Software nicht kennen und auch nicht installiert haben, dann solltest du die Einträge fixen ( beheben ).

    Ansonsten ist es immer eine gute Idee Antivir auch mal im abgesicherten Modus scannen zu lassen, denn dort kann es viel effektiver verseuchte Dateien entferen.

  3. #3
    Avatar von arcados
    arcados ist offline
    Themen Starter

    Title
    Benutzer
    seit
    31.08.2006
    Beiträge
    2

    Standard Re. Logfile Tr/small.jr

    Moin moin,

    tja, die Software kenne ich. Ich habe auf dem PC die Fernsteuerung Remotely Anywhere installiert. Aber erst nachdem ich ihn sauber hatte. Oder sagen wir so, ich dachte der PC wäre sauber. Also die Einträge im Logfile sind O.K. und darüber ist der Trojaner auch nicht reingekommen.

    Im abgesicherten Modus habe ich auch schon gescannt aber trotzdem krieg ich den Trojaner nicht weg.

    Hat noch jemand eine Idee?

  4. #4
    Avatar von Johann Schmidt
    Johann Schmidt ist offline

    Title
    Benutzer
    seit
    17.08.2005
    Beiträge
    1.060

    Standard

    Im abgesicherten Modus habe ich auch schon gescannt aber trotzdem krieg ich den Trojaner nicht weg.
    Hat noch jemand eine Idee?
    Das liegt wahrscheinlich daran, daß Du die Systemwiederherstellung beim Scanvorgang nicht deaktivierst hast. Ich habe zu einem ähnlichen Problem das hier gepostet:

    Thema Wiederherstellung deaktivieren. Siehe Screenshot.

    Hier der Link zu meinem Beitrag:

    https://www.dirks-computerecke.de/for...?p=21846#21846

Ähnliche Themen

  1. Trojaner

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 2
    Letzter Beitrag: 09.07.2005, 13:53
  2. BackDoor.Small.31.AE und BackDoor.SdBot.189.AR

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 3
    Letzter Beitrag: 13.06.2005, 08:31
  3. Trojaner

    Von im Forum Ankündigungen und Forenregeln
    Antworten: 1
    Letzter Beitrag: 11.05.2005, 08:17
  4. Kein Internet Zugang mehr seit TR/Downloader.small.NU

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 4
    Letzter Beitrag: 07.03.2005, 18:51
  5. Trojaner TR/Downloader.Small.US

    Von im Forum Antivirus und PC Sicherheit
    Antworten: 5
    Letzter Beitrag: 26.02.2005, 15:08
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz