[Hilfe] Kino.to Trojaner removen

Freezer2k · 19. Oktober 2008

Hallo liebe RR'ler.
Ich stehe vor dem Problem, dass ich die "Erweiterungsdatei" von der gehackten kino.to Domain
heruntergeladen habe.
Nun beinhaltet diese "Erweiterung" aber einen Trojaner,
der weder von Zone Alarm, Kaspersky oder BitDefender wirklich erkannt wird
und keiner dieser Antivirushersteller bietet auf der Seite eine "removedatei" dafür an.

Was genau kann ich jetzt als tun um das Ding von meinem Rechner zu bekommen,
ohne dabei formatieren zu müssen.

Hier ein paar Details:
- "Erweiterung" (mit Trojaner) auf http://kino.to runterladbar.

- Download der Hijackthis Logifle
-------------------------------------------------------------------------------------------------
jotti.org Scanbericht:

Scan taken on 19 Oct 2008 11:53:38 (GMT)

A-Squared Found BehavesLike.Win32.Malware!IK
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.Agent.YWY
ClamAV Found Trojan.Downloader-56892
CPsecure Found nothing
Dr.Web Found Trojan.DownLoader.46295
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Trojan.Win32.Agent.ahze
G DATA Found Trojan.Downloader.Agent.YWY
Ikarus Found BehavesLike.Win32.Malware
Kaspersky Anti-Virus Found Trojan.Win32.Agent.ahze
NOD32 Found probably a variant of Win32/Genetik (probable variant)
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Sophos Antivirus Found Troj/Dloadr-BWB
VirusBuster Found nothing
VBA32 Found Embedded.Win32.Agent.NIB (probable variant)
-------------------------------------------------------------------------------------------------

WÜrde mich über Lösungsvorschläger sehr freuen.

MfG
und Danke im Vorraus. (BW ist selbsverständlich)

Freezer

Anzeige

Galaxydarkness · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

hijackthis.de

proggi oben rechts laden, system damit scannen, inhalt der textdatei auf der page einfügen, auswerten lassen und die gefährlichen einträge fixen lassen im programm

N.W.O. · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Lass mal Hijackthis drüberlaufen und werte den Log auf HijackThis Logfileauswertung aus, lösche/fixe dann die schädlichen Einträge.

Außerdem mal Spybot runterladen und damit PC checken.

Das Übliche eben.

€// zu spät

[Bensen] · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Erstell mal ein Log-Datei mit hijackthis (Direktdownload) und poste ihn hier.

Dann kannst du noch im abgesicherten Modus starten und einen gründlichen Virenscan machen.
Eventuell auch die Autostart-Einträge kontrollieren und gegeben falls unbekannte Einträge löschen.

Mit solchen Sprüchen kommst du hier nicht sehr weit.

Freezer2k · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Ok schonmal danke für die schnellen Antworten,
lade hijackthis gerade runter und werde euren posts dann folgen
und den Bericht hier rein posten.

MfG

EDIT:

Download der Logifle

Ausführlich:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:06, on 19.10.2008
Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Spybot - Search & Destroy1\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 218.107.54.224:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Programme\KGB\MPK.exe
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\system32\IETie.dll
O3 - Toolbar: (no name) - {B9D1647F-A66A-4695-B249-07901A45FF59} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy1\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MobileConnect.EXE] C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
O4 - HKCU\..\Run: [ProxyWay] C:\Programme\ProxyWay\proxyway.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB2854] command /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\NetPumper\NetPumper Help.lnk"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Nikon Monitor.lnk = C:\Programme\Gemeinsame Dateien\Nikon\Monitor\NkMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O15 - Trusted Zone: http://ds14.die-staemme.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191004708937
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196530543281
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - MSN Games - Free Online Games
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.2.1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDFF2778-A2B2-4CA7-AECF-0D65DF9D29D1}: NameServer = 192.168.0.1,192.168.0.255
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Radmin Server V3 (RServer3) - Unknown owner - C:\WINDOWS\system32\rserver30\RServer3.exe (file missing)
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

[Bensen] · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Code:

O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.2.1.cab

Code:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe (file missing)

Die Einträge solltest du überprüfen und gegeben falls fixxen.

Freezer2k · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Hmmm... was mich wundert ist, dass in der auswertung bisher kein Trojaner zu sehen ist.
Ist das ein gutes Zeichen ?

Und zu den 2 Werten.
Die svchost.exe und die internetdownload manager.
Was genau soll ich da fixen? Einfach löschen weil unnötig?

mfg

[Bensen] · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

In der Auswertung (mit Kommentaren) wird auch nicht umbedungt stehen "Diese Datei beinhaltet einen Trojaner, lösche sie umgehend" weil man das nie so genau weiß.

Aber du kannst ja mal selber den Log hochladen und dir die Bewertungen etc. anschauen.

Du markierst einfach die zu fixxenen Einträge bei HijackThis und klickst unten auf "Fix checked".

Shark.™ · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

suche die beiden einträge bei hijackthis, markiere sie (checkbox) und dann auf "Fix checked" klicken

Freezer2k · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Hmm... alles klar.

Habe gerade gemerkt das die svchost.exe fehlt, weil Bitdefener die verschoben hatte.
Also die ist möglicher Weise befallen.
Die Fehlerhaften einträge habe ich alle gefixed und noch mehere checks gemacht.

Ich werde jetzt gleich mal neustarten.

Wie kann ich mir dann sicher sein, dass der Trojaner weg ist?

MfG

candy123 · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

100%ig sicher kannst dir leider nur nach format c: sein.
Lass halt mal dein System von verschienenden Virenscannern durchscannen (vllt auch mal einen von denen ausprobieren, die den Virus erkannt haben)

[Bensen] · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Da sich der Trojaner sehr schnell verbreitet hat, werden die Antivirenhersteller sicherlich in den nächsten Tagen eine Signatur vom Trojaner haben, oder halt nen Removetool zu Verfügung stellen.

Freezer2k · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Also Danke nochmal an alle netten Poster, BWs sind raus.

Danke [Bensen], candy123, Galaxydarkness, N.W.O. und Shark.™

Und Gegenleistung, falls ich mal was tun kann, gerne. (solange kein Geld,Sex etc. =) )

Sollten noch weitere Probleme auftauschen werde ich wohl formatieren müssen.
Aber der Trojaner scheint weg zu sein.

MfG
Freezer

peter hoden · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Vergess es wirst du nicht los, Formatieren, PM mich wenn du wissen willst wieso. Und geh nie wieder auf kino.to omg...

wird nicht passieren

mfg peter hoden

pyro · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Wieso erklärst du nicht allen, wieso nur ein Format C: hilft?
Bin zwar deiner Meinung, aber würd mich trotzdem interessieren

Galaxydarkness · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Und wie wärs mit ner systemwiederherstellung sofern nen punkt erstellt wurde?

Freezer2k · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Naja ich kann Entwarnung geben.
Peter hoden hat mich da auf ein paar andere Sachen gestoßen,
die aber so direkt wenig mit dem Trojaner zu tun haben.

Systemwiederherstellung ist doch gegen Rootkits nicht wirksam oder?
Die setzen sich doch sagar bei sowas fest? (hab das eben mal gegoogelt)

Und dieser Virus soll angeblich Rootkits beinhalten.

MfG

Alex² · 19. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Wie man das Teil wegbekommt steht hier

Peter Hoden....

Du machst dich viel zu wichtig hier, wieso schreibst du ihm keine PM von Anfang an ? Neiiiiiin es würde niemand sehn wie toll du bist, also kündigst du jede PM im Thread an. Dir fehlt anscheinend Aufmerksamkeit!

Weist du was das ist:

SPAM

Ganz davon abgesehn bekommt man das Teil auch ganz sicher ohne Formatieren weg ; Formatieren zeugt nur von Faulheit oder Unfähigkeit.

Mfg Alex²

TuXiFiED · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

@ Alex²:
Es kann ja sein das man damit den eigentlichen Trojaner beseitigt kriegt, das behebt aber keineswegs das Hauptproblem.
Fakt ist das durch das Ausführen der Datei jemand fremdes Zugriff auf den Rechner hatte, woher weisst du mit Sicherheit, das das System nicht durch ein Rootkit infiziert wurde und/oder zusätzliche Malware eingeschleust wurde?
Rechner ist als kompromittiert (und somit nicht mehr vertrauenswürdig) anzusehen, ergo -> Windows neuinstallieren.

Ich gehe mal davon aus, das das auch die Aussage von Peter Hoden sein sollte, auch wenn er dies nicht unbedingt gut zur Geltung gebracht hat....

Mfg
TuXiFiED

Alex² · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Ich habe legendlich auf die Frage des Topics geantwortet. Es könnte jetzt auch was in deb BIOS geschrieben wordeb sein.. da nützt Formatieren auch nichts. Was ich damit sagen will ist, wir sollten keine Probleme suchen, bevor er keine weiteren feststellt. Dafür gibt es einfach zu viele Möglichkeiten.

Mfg Alex²

Freezer2k · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Es freut mich doch nochmal zu sehen welche Unterstützung ihr einem doch gebt.
Danke nocheinmals dafür.

Also ich habe bisher kein weiteres Problem entdeckt.
Nur habe ich natürlich Angst davor, dass ein Rootkit etwas in meinen Bios geschrieben hat
oder sich im RAM festsetzt (habe da was auf Google gelesen)... klingt all in allem sehr unangenehm.

Um meinen Rechner wieder mit Sicherheit zu nutzen sollte ich das System wohl neu instalieren, oder?
Und den Bios überschreiben?

Aber muss man da auf noch mehr achten?

Oder lohnt es sich für mich überhaupt mein System neu zu instalieren, wenn ich nur paypal auf diesem Rechner nutze und kein Onlinebanking?

MfG

Alex² · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Das mit dem Bios war eig. nur Ironie, aber solange du keine Problme hast und kein Paypal etc. nutzt lohnt sich das in meinen Augen nicht.

TuXiFiED · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Genau lesen ftw....!
Er hat geschrieben, das er PayPal auf dem Rechner nutzt ....
Dementsprechend sei dir, Freezer2k, geraten das System neu aufzusetzen.
Falls jemand die Paypal-Daten in Erfahrung bringt, könnte das mit sehr viel Aufwand und Ärger mit Paypal, Banken und Co verbunden sein, ich denke das System neu aufzusetzen wäre da die weit stressfreiere Lösung...

MFG
TuXiFiED

raid-rush · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

hier die anleitung von kino.to

Infos zur manuellen Beseitigung
Vorweg: Alle hier genannten Infos wurden nach bestem Wissen und Gewissen erstellt es ist nicht ausgeschlossen, dass es weitere Stellen gibt in denen sich der Bot einnistet, doch bisher haben wir keine gefunden.

Zunächst wissen wir, dass der Bot eine Autostart-Routine braucht. Diese fanden wir in der Registry unter folgenden Schlüsseln:

* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msupdate
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate

In jedem dieser Schlüssel befindet sich eine Zeichenfolge mit dem Namen: "ImagePath"
Der Wert der Zeichenfolge lautet im Infektionsfall: "c:\windows\system32\..\svchost.exe"
Verdächtig genug. Entfernen wir diese schlüssel (jeweils msupdate) so startet der Bot nicht mehr beim nächsten reboot von Windows.
Nach dem neustart müsst ihr noch den Bot selbst löschen, er befindet sich wie oben angezeigt in C:\%SYSTEMROOT%\svchost.exe, bitte löscht diese Datei.

Der letzte Schritt: Sucht nach svchost.exe und erweiterung.exe und löscht die gefundenen Dateien WENN:

1. Die Datei mit dem Namen svchost.exe außerhalb des System32 Verzeichnisses befindet ODER eine Größe von 37.019 Bytes besitzt
2. Die Datei erweiterung.exe heißt und euch unbekannt ist (zusätzlich hat sie wahrscheinlich eine Größe von ca. 30 KB

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Flipsi · 20. Oktober 2008

AW: [Hilfe] Kino.to Trojaner removen

Ich hab Nod32 laufen lassen und es wurde 3 Dateien gefunden, die dann auch gesäubert wurden. Müsste es damit nicht auch getan sein?

Nützliche Suchen

[Hilfe] Kino.to Trojaner removen

Videos zum Themenbereich