Hallo !

Wahrscheinlich bin ich hier falsch, aber mein Acronis Antispy findet dieses Chupacabra. Kaspersky Anti Virus und Anti-Hacker sagen nichts. Entferne ich es mit Acronis, ist es beim nächsten booten wieder drauf.

Habe Win XP Home Edition. Ist dieses Chupacabra schädlich für XP ? Weil da etwas von Win NT steht.

Kann mir jemand auf deutsch und für einen Laien erklären, wie ich das Ding wieder loswerde ? Eine etwas ältere Sicherung des Systems habe ich mit Acronis angelegt, aber eine aktuelle darf ich ja wohl nicht machen wegen diesem Ding ?

Poste hier mal den HiJack, vielleicht kann das ja zur Abhilfe beitragen.

Bitte helft mir, da ich nicht gern meine Passwörter preisgeben möchte.
Kann ich das nicht verhindern, das so ein Trojaner auf den PC kommt ? Dachte mit Kaspersky und Acronis wäre ich schon gut ausgerüstet.

Bin halt auch bei edonkey unterwegs .

Schonmal herzlichen Dank :-)

Logfile of HijackThis v1.99.1
Scan saved at 13:44:47, on 18.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Windows\system32\RUNDLL32.EXE
C:\Programme\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Windows\system32\RunDll32.exe
C:\Programme\Acronis\PrivacyExpert\Shield.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Windows\System32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Filzip\Filzip.exe
C:\Windows\system32\NOTEPAD.EXE
C:\DOKUME~1\Koerber\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [TrustInstaller] D:\Setup.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Acronis Popup Blocker] RunDll32.exe C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll,Run
O4 - HKLM\..\Run: [SpyWare Shield] "C:\Programme\Acronis\PrivacyExpert\Shield.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**s://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117808470031
O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - http://h**ps://rtc1.webresponse.one..../TLIEFlash.CAB
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\Windows\System32\nvsvc32.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE

Hallo ??


Kann mir denn niemand helfen ?

Es wird nur der Eintrag in der regedit gefunden. Keine Exe Dateien.

Muss ich die Platte wohl neu formatieren-oder ?

Hallo joshia,

übe dich in Geduld, denn hier wird niemand für's Antworten bezahlt, ergo hast du auch keinen Anspruch auf eine schnellstmögliche Antwort!
Alles geschiet hier auf freiwilliger Basis und in der Regel gehen die hier anwesenden Regulars 'nebenbei' einer festen Arbeit nach.

Zitat:

Ist dieses Chupacabra schädlich für XP ?

Keine Ahnung, davon hab' ich noch nichts gehört. Welche Datei wird denn als Chupacabra moniert?

Überprüfe diese Datei bei http://virusscan.jotti.org/de und poste uns das Ergebnis.

Zitat:

Bin halt auch bei edonkey unterwegs .

Der Einsatz von Filesharing Tools minimiert deine Systemsicherheit erheblich!

In deinem Log-File sehe ich sonst nichts verdächtiges. Also warten wir mal die Überprüfung ab.

Hallo Cidre !


Entschuldige die Ungeduld. Ich bin einer von vielen gestressten Vätern und habe gerade, wie es so ist, überhaupt keine Zeit mich um so einen blöden Trojaner zu kümmern. Dachte ja auch, wäre gut geschützt (DSL-Router-da ist ja schon eine Firewall drin, Kaspersky, Acronis, Ad Aware etc). Und gerade jetzt muss ich online einige Überweisungen machen-traue mich logischerweise jetzt aber nicht.


Es ist ja keine Datei. Es handelt sich ja um einen Eintrag in der Regierung. Die kann ich doch nicht hochladen zum Scannen ?

Es findet auch nur Acronis Privacy Expert Suite, wenn ich auf Spyware suchen gehe, diesen Eintrag.

Ich habe auch schon in der Regierung den Eintrag load gelöscht (im abgesicherten Modus). Nach einem normalen Neustart war der Eintrag aber wieder da.

Es gibt diese Seite:

http://www3.ca.com/securityadvisor/p....aspx?id=21339

wo etwas über Chupacabra, aber leider verstehe ich das ganze englsiche nicht so recht.

Ich mache gerade einen virus online scan mit trend micro. Einen Hackercheck konnte man auch gleich machen. Offene Ports habe ich keine und Trend Micor sagt, mein System ist in dem Bezug sicher.

So und der Virenscan ist auch abgeschlossen. Es ist keine infizierte datei vorhanden. Komisch.


Ach ja, was ich noch so über google gefunden habe: Diese Einträge die der Backdoor.Win32.Chupa in der Regierung eigentlich macht:

startup:
c:\windows\win.ini
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKU\.default\Software\Microsoft\Windows\CurrentVersion\Run

gibt es bei mir ja so nicht. Bei mir steht ja nur etwas von load. Siehe mein erstes Posting. Vielleicht ist dieser Trojaner ja gar nicht vollständig installiert ?

Ich hoffe ja so auf Hilfe.

Gruss

joshia

Hallo !

So, habe doch viel Geduld gehabt. Leider hat sich niemand erbarmt, mir zu helfen.

Mfg

joshia

also das vieh steckt hier C:\Programme\SinEspias im Autostart als no-spy

Bei mir gibt es die Datei C:\Programme\SinEspiasnicht. Hast Du das Ding auch ?

Zitat:

Zitat von joshia

Bei mir gibt es die Datei C:\Programme\SinEspiasnicht. Hast Du das Ding auch ?

Ich hatte das Teil und auch mit Acronis Privacy Expert Suite gefunden ist jetzt aber weg nachdem ich es aus dem Autostart war als no-spy drin genommen habe dann konnte ich den ordner löschen und weg war es ,schau doch mal im Task Manger unter prozesse ob du da was findest was da nicht hin gehört und schau unter programme /gemeinsame datein mal nach glaube da war der ordner drin

Hallo Joshia,

lass mal die Festplatte in Ruhe. Ich habe auch diese Fehlermeldung von Acronis, die meiner Meinug nach eine Falschmeldung ist. Du kannst ja den den Dateizweig in der Registry sehen. Es ist der Reg Key für die Versionsinfo über Dein Win XP Betrienssystem. Es ist deshalb immer wieder da. Ein Trojaner schließe ich aus, da die besten Programme auch bei mir nichts finden können.

Auch ist keinerlei Aktivität bezüglich dieses Reg Eintrages zu verzeichnen. Nur die Ruhe.

CU
Roxanne

Hallo liebe Gemeinde,

Acronis hat den Fehler mit einem Update vom 15.08.05 beseitigt. :aplaus: Sag ich doch, dass war niemals ein Trojaner.

Grüße
Roxanne