|
Plagegeister aller Art und deren Bekämpfung: Virus / Trojaner??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.07.2007, 00:40 | #1 |
| Virus / Trojaner?? Hallo erstmal zusammen, ich brauch´ma Eure Hilfe. Hatte eben ne Untersuchung mit Avira gestartet und er meldet prompt ein unerwünschtes Programm auf E, also auf der Partition im Ordner System Volume Information / restore. Ich hatte die ganze Zeit schon vermutet, dass da was im Busch ist, da ich auf diesen Ordner nicht zugreifen kann, obwohl ich als Admin angemeldet bin und er diesen Ordner immer als versteckten anzeigt. Er nimmt auch die Änderungen nicht an, wenn ich das in der Systemsteuerung ändere. Dann hab ich E: formatiert, allerdings war dieser Ordner nach der Formatierung immer noch da . Ich hatte bereits einen HJT von C: gemacht, da war aber nichts außergewöhnliches....Habt ihr vielleicht ne Ahnung, was das zu bedeuten hat?? Danke schon mal Gruß cIInc
__________________ ----------------------------- Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann, das Gegenteil ist schon etwas schwieriger (Tucholsky) |
13.07.2007, 01:26 | #2 | ||||
/// TB-Ausbilder | Virus / Trojaner?? Hi,
__________________alles halb so wild. Zitat:
Hijackthis schaut sich übrigens laufende Prozesse uÄ an, vollkommen unabhängig davon auf welcher Platte sie liegen, sollten also Platte E und Platte C immer im selben Rechner stecken haben sie auch dasselb HJT-Log Zitat:
Zitat:
Wenn man ein Wiederherstellungspunkt wählt, zudem der Rechner infiziert war, will man den Rechner ja auch wieder infiziert haben. Im Ernst Windows kann nur schwer unterscheiden, welche Programme du absichtlich und welche unabsichtlich installiert hast. Daher werden viele Trojaner dort mitgespeichert. Zitat:
Wenn du diese Deaktivieren willst dann gehe auf Start->Systemsteuerung->System->Systemwiederherstellung und kannst dort "Systemwiederherstellung auf E: deaktivieren" auswählen. Dann sollte nach dem nächsten booten auch der Ordner weg sein. lg myrtille |
13.07.2007, 13:38 | #3 |
| Virus / Trojaner?? Hi,
__________________danke erst mal für die schnelle Antwort Hier das HJT Logfile of HijackThis v1.99.1 Scan saved at 14:32, on 2007-07-13 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\PC Tools Firewall Plus\FWService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\a-squared Free\a2service.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Borland\InterBase\bin\ibguard.exe C:\Programme\Sandboxie\SbieSvc.exe C:\Software\Spyware Doctor\svcntaux.exe C:\Software\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\svchost.exe C:\Software\Spyware Doctor\SDTrayApp.exe C:\Programme\Borland\InterBase\bin\ibserver.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\Arovax Shield\ArovaxShield.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Sandboxie\Control.exe C:\Software\ArchiCryptShredder3\ACSecureDZone.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Vidalia\vidalia.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Privoxy\privoxy.exe C:\Programme\Tor\tor.exe C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Software\Mozilla Firefox\firefox.exe E:\Foxmail\Foxmail.exe C:\Programme\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Arovax Shield] C:\Programme\Arovax Shield\ArovaxShield.exe -tray O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SDTray] "C:\Software\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe O4 - HKCU\..\Run: [SecureDZone] C:\Software\ArchiCryptShredder3\ACSecureDZone.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [PopUpStopperFreeEdition] C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183460150406 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programme\PC Tools Firewall Plus\FWService.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Software\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Software\Spyware Doctor\swdsvc.exe ---- Das Programm, das er meldet heißt DR/PSW (E:/System Volume Information \ restore...RP40\A0005324.exe) Danke schon mal fürs drüberschauen LG cIInc
__________________ |
13.07.2007, 13:50 | #4 | |
/// TB-Ausbilder | Virus / Trojaner??Zitat:
Dein Log sieht sauber aus, allerdings ein paar Bemerkungen: 2 Antivirenprogramme sind zb absolut überflüssig. 1 ist vollkommen ausreichend. In diesem Fall sind die Programme wohl kompatibel, sonst kann man sich mit 2 solchen Programmen den Rechner total zerschießen. Du hast a-squared aufm Rechner? Hast du das in letzter Zeit zufällig mal durchlaufen lassen? Ohne Befunde? Ansonsten würde ich mal denken, dass du sauber bist. lg myrtille |
13.07.2007, 21:58 | #5 |
| Virus / Trojaner?? Das mit der SWH habe ich jetzt gemacht. Habe nochmal Avira drüber laufen lassen und die Meldung auf E war jetzt weg. A-squared habe ich gestern und heute gucken lassen, allerdings ohne Fund. Auch AVG fand nichts. Läuft jetzt gerade noch ein escan und der zeigt mir plötzlich 6 Tojaner an Bisher hat er das hier gefunden 1.) Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 2.) Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 3.) Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 4.) Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 5.) Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 6.) Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt Vielleicht ist das ja auch nur ein Scherz von Esan, damit ich mir die Vollversion kaufe Hast Du einen Tipp wie ich die Biester wieder los werde?? Danke LG cIInc
__________________ ----------------------------- Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann, das Gegenteil ist schon etwas schwieriger (Tucholsky) |
13.07.2007, 22:30 | #6 |
/// TB-Ausbilder | Virus / Trojaner?? Deswegen eScan nur unter Beausichtigung eines Forumsmitglied durchführen Das sind falsepositives, eScan hat die lustige Idee alle Dateien, die denselben Namen wie Malwaredateien haben ebenfalls als Malware zu identifizieren. Das ist in 90% der Fälle Blödsinn, sorgt aber gelegentlich dafür, dass was gefunden wird, was sonst übersehen worden wäre. Lasse bitte noch die find.bat durchlaufen, damit ich sehen kann, welche Dateien bemängelt werden. So lässt sich nur schwer sagen, ob es ein Fehlalarm ist oder Befall. lg myrtille |
14.07.2007, 12:34 | #7 |
| Virus / Trojaner?? Hi, ich glaube, Du hattest recht mit den false positves, es betrifft folgende Dateien 1.) C:Windows\rundl16.exe 2.) ....rundl32.exe 3.) ... vcmgcd32.dll 4.).....logo_1.exe 5.) ....iifgfgf.dll 6.) ... ztsz.exe ich hatte heute nochmal einen Scan mit counterspy gemacht und der hat mir diese 6 Dateien (Ordner sind leer) angeigt. Das sind doch, wenn ich das richtig verstanden habe, die Ordner, die Escan beim Scanvorgang anlegt?? Ich glaube, ich bin clean LG cIInc
__________________ ----------------------------- Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann, das Gegenteil ist schon etwas schwieriger (Tucholsky) |
14.07.2007, 12:42 | #8 |
| Virus / Trojaner?? Yep. Ich weiß nicht, was diese Unsitte von escan soll . Gruß |
14.07.2007, 12:53 | #9 |
| Virus / Trojaner?? wenn man´s weiß, ist es ja gut, aber erst mal die Leutchen in Panik versetzen...tsss Vielen lieben Dank für eure Hilfe LG und schönes WE cIInc
__________________ ----------------------------- Der Vorteil der Klugheit besteht darin, dass man sich dumm stellen kann, das Gegenteil ist schon etwas schwieriger (Tucholsky) |
Themen zu Virus / Trojaner?? |
admin, ahnung, angemeldet, avira, confused, formatierung, gen, gestartet, information, melde, meldet, nichts, ordner, partition, programm, system, system volume information, systemsteuerung, trojaner, trojaner?, trojaner??, unerwünschtes programm, versteckte, virus, zusammen, Änderungen |