Trojan.Small.fb Fehler beim Säubern - jedoch schöner HJT logfile

#1 Hi,
bin nicht grad das grosse PC-Genie, aber mit Hilfe von einigen Posts hier hab ich das eine oder andere bereits probiert. Folgendes jedoch ist unlösbar für mich und ich würd eure Hilfe bitte brauchen:

Nach Start des ewido kommt die Meldung
"Trojan.Small.fb Fehler beim Säubern"

wenn ich ewido im abgesicherten Modus laufen lasse findet er dieses Ding
gar nicht

habe mit dem Hijack geschaut - der file ist sauber, da stehen nur 4 Zeilen
drin.

Kann mir bitte jemand helfen das obengenannte Ding wegzubekommen?

Herzlichen Dank
Christian

#2 Poste bitte das Hijackthis log und ein Report von Ewido, wo diese Meldung erscheint.
__________
MfG Ralf
SEO-Spam Hunter

#3 hallo ralf,
hier mal der hjt log

Logfile of HijackThis v1.97.7
Scan saved at 08:12:12, on 13.10.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijacThis\HijacThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

und hier die message von ewido

+ Erstellt am: 20:32:23, 12.10.2005
+ Report-Checksumme: 412C6E74

+ Scanergebnis:

[912] VM_02A30000 -> Trojan.Small.fb : Fehler beim Säubern


::Report Ende


hoffe ich hab das so richtig gemacht.

kannst dumir bitte helfen?

#4 Du solltest dein Hijackthis mal erneuern! Deines ist asbach.
Da hat Ewido den Trojaner angeblich im Speicher gefunden un das sieht mir sehr nach Fehlalarm von Ewido aus. Du kannst ihnen ja mal den Ewido Report schicken.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo Christian,

kannst du mal bitte, wenn die Meldung wieder auftaucht, im Prozessviewer von ewido nach dem Prozess suchen, der diese PID (das ist die Zahl in den eckigen Klammern) hat, suchen und den genauen Pfad sagen? Danke...

Beste Grüße,
Peter

#6 Danke Ralf und Danke Peter,

das heisst eienrseits ist das eher Fehlalarm. Ich dachte das istr der grund
für etwas was SEHR nervt:

immer wieder kommt die Meldung recht sunten

YOUR COMPUTER MIGHT BE AT RISK

ich hab bei euch rausgefunden dass das eine "schlechte Sache" ist hab aber nirgends rausgelesen wie ich das weg bekomme.
Wenns nich am trojan.small.fb liegt

an was liegt das und wie krieg ich das wider weg?

Würd mir bitte noichmal jemand helfen?

Wär irre nett von euch.
Chris

#7 Dann mal Komando zurueck, lies dir diesen Artikel durch(smitrem), arbeite ihn ab, hole dir Hijackthis 1.99.1 und erstelle ein neues Log. In der Reihenfolge.

Nachtrag: Spybot von www.spybot.info koenntest du auch noch installieren, aktualisieren und im abgesicherten Mous ausfuehren.
__________
MfG Ralf
SEO-Spam Hunter

#8 Danke Ralf. Es ist mir jetzt fast peinlich:

- wo ist der Artikel smitrem?
- wo bekomm ich die 1.99.1 hj version?

verzeih bitte meine unwissenheit.

danke im voraus
chris

#9 HijackThis:

verschiedene Quellen:
http://managor.de/hjt.htm
http://virus-protect.org/hjtkurz.html
http://hijackthis.de
...

Das mit smitRem behalte mal im Hintergrund. Das wirst Du noch benötigen, aber momentan ist erstmal nur das HJT-Log wichtig.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#10 Entschuldige, ih habe den Link nur kopiert und vergessen einzufuegen!

http://www.trojaner-board.de/showthread.php?t=21709
__________
MfG Ralf
SEO-Spam Hunter

#11 Danke - hab das neue. Da ist einiges "mehr drin" im Logfile. Hier ist er:

Logfile of HijackThis v1.99.1
Scan saved at 20:24:57, on 13.10.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\ewidoctrl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\wuauclt.exe
C:\Programme\HijacThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Unknown owner - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (file missing)
O23 - Service: Sophos Anti-Virus (SAVService) - Unknown owner - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\smc.exe
O23 - Service: Sophos AutoUpdate Service - Unknown owner - C:\Programme\Sophos\AutoUpdate\ALsvc.exe (file missing)

soll ich was klöschen?