Trojaner TR/Small.JR

31.08.2006, 21:35

Hallo,

ich habe da einen PC der mit dem Trojaner TR/Small.JR verseucht ist. Beim Hochstarten des PCs kommt die Warnmeldung von Antivir bis zu 25x und manchmal ist auch die Auslagerungsdatei weg.

Hat jemand einen guten Rat wie man den Trojaner wegbekommt? Die angeblich verseuchte Datei ist immer C:\windows\com6.cul (in div. Groß/Kleinschreibweisen). Die angegebene Datei ist nie zu finden. (Systemdateien und versteckte werden angezeigt).

Ad-Aware, Spybot, Antivir, Pestcontrol, E-Scan konnten bisher nicht helfen.

Anbei mal das aktuelle Hijack log File:

Ich hab sicher was übersehen.

Logfile of HijackThis v1.99.1
Scan saved at 21:18:04, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\fwl\zlclient.exe
C:\Programme\RemotelyAnywhere\RAGui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\Lexmark X6100 Series\lxbfbmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\fwl\zlclient.exe"
O4 - HKLM\..\Run: [RemotelyAnywhere GUI] "C:\Programme\RemotelyAnywhere\RAGui.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://hartmut-hdqa853:2000/activex/RACtrl.cab
O20 - Winlogon Notify: RAinit - C:\WINDOWS\SYSTEM32\RAinit.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RaMaint.exe
O23 - Service: RemotelyAnywhere - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke im voraus für Tipps.
Ciao
Arcados

01.09.2006, 14:20

Hallöchen,

also das Logfile ist soweit eigentlich sauber, bis auf folgende nicht bekannte Einträge:

Code:

O20 - Winlogon Notify: RAinit - C:\WINDOWS\SYSTEM32\RAinit.dll 
O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RaMaint.exe 
O23 - Service: RemotelyAnywhere - LogMeIn, Inc. - C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe

Solltest du diese Software nicht kennen und auch nicht installiert haben, dann solltest du die Einträge fixen ( beheben ).

Ansonsten ist es immer eine gute Idee Antivir auch mal im abgesicherten Modus scannen zu lassen, denn dort kann es viel effektiver verseuchte Dateien entferen.

04.09.2006, 13:25

Moin moin,

tja, die Software kenne ich. Ich habe auf dem PC die Fernsteuerung Remotely Anywhere installiert. Aber erst nachdem ich ihn sauber hatte. Oder sagen wir so, ich dachte der PC wäre sauber. Also die Einträge im Logfile sind O.K. und darüber ist der Trojaner auch nicht reingekommen.

Im abgesicherten Modus habe ich auch schon gescannt aber trotzdem krieg ich den Trojaner nicht weg.

Hat noch jemand eine Idee?

04.09.2006, 13:39

Im abgesicherten Modus habe ich auch schon gescannt aber trotzdem krieg ich den Trojaner nicht weg.
Hat noch jemand eine Idee?

Das liegt wahrscheinlich daran, daß Du die Systemwiederherstellung beim Scanvorgang nicht deaktivierst hast. Ich habe zu einem ähnlichen Problem das hier gepostet:

Thema Wiederherstellung deaktivieren. Siehe Screenshot.

Hier der Link zu meinem Beitrag:

https://www.dirks-computerecke.de/for...?p=21846#21846

Trojaner TR/Small.JR

Trojaner TR/Small.JR

Re. Logfile Tr/small.jr

Ähnliche Themen

Trojaner

BackDoor.Small.31.AE und BackDoor.SdBot.189.AR

Trojaner

Kein Internet Zugang mehr seit TR/Downloader.small.NU

Trojaner TR/Downloader.Small.US