Hi,

Meine Mutter war heute am PC und sagte, sie hätte 2 mal die Meldung gehabt, dass sich ein Trojaner auf dem PC befindet. Anscheinend war es eine Meldung von AntiVir und sie hat ihn 2 mal gelöscht. Jetzt im Moment taucht er nicht mehr auf und ich hab schon einige Programm durchlaufen lassen.

Gleichzeitig lässt sich die FullTiltPoker Software nicht mehr starten. Meine Mutter spielt da manchmal um Spielgeld.


habe jetzt HijackThis durchlaufen lassen und folgende Log-Datei kommt raus:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 3:32:02 PM, on 03/29/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Marc\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Also ich bin im Moment etwas verunsichert, denn ich nutze meinen PC fast ausschließlich zum online pokern um Echtgeld und besitze auch ein Neteller Konto(momentan jedoch leer).
Muss ich mir da jetzt Sorgen machen und sollte ich evtl. meinen Partypokeraccount vorübergehend sperren lassen?


ich hoffe ihr könnt mir sagen was da los ist,
vorab schonmal Danke und Gruß Marc !

Hallo Marc4468 und

• Bitte beschreibe dein Problem genauer, so wie es dir unter anderem auch in den Nutzungsbedingungen vorgegeben wurde:

Zitat:

Zitat von NUB#5

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen,
und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Hi,

also Betriebssystem ist Windows XP Service Pack 2. Ansonsten kann ich keine Pfadangaben oder ähnliches machen, denn meine Mutter hat auf "löschen" geklickt und jetzt taucht die Trojanermeldung nicht mehr auf.

Insgesamt hat sie 2 Trojanermeldungen erhalten.

Antivir legt einen Report an, dieser sollte auch einen Dateipfad beinhalten, genau wie die gefundene Malware.


Das Hijacklog sieht meiner Ansicht nach unbedenklich aus, keine Einträge die auf schädliche Dateien hinweisen.

Daher zusätzlich noch folgendes:


Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Hi,

er spuckt die folgenden beiden Virusmeldungen aus:

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Programme\Full Tilt Poker.Org\Updater.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [TR/Crypt.CFI.Gen] gefunden.
Ausgeführte Aktion: Datei löschen
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\Programme\Full Tilt Poker\Updater.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [TR/Crypt.CFI.Gen] gefunden.
Ausgeführte Aktion: Datei löschen
         

Dann beschreibe ich das Problem mit der FullTiltSoftware nochmal etwas genauer:
-Das Programm startet und verbindet zum Internet
-ein Popup erscheint: There is a new software update to install
-klick auf OK und nichts passiert.

Ich vermute dass antivir das update irgendwie blockt und die software deshalb nicht mehr funzt. Also hab ich wahrscheinlich keinen Trojaner sondern es is nur ein missverständnis zwischen Software und Virenscanner ?!?

Zitat:

Zitat von Marc4468

Also hab ich wahrscheinlich keinen Trojaner sondern es is nur ein missverständnis zwischen Software und Virenscanner ?!?

Es könnte durchaus sein das dein Antivir die Software als "gefährlich" erkennt obwohl es diese nicht ist!
Jedoch habe ich mit dieser Poker-Software schon immer auf Kriegsfuss gestanden, daher kann ich dir in diesem Punkt nicht weiterhelfen.

Lass auf jeden Fall Kaspersky und Malwarebytes durchlaufen.

Vielen Dank schonmal für deine Bemühungen

ich werd mir die beiden Programme noch runterladen und mal durchlaufen lassen.

Also während malwarebyte am scannen war kamen die folgenden 2 Virusmeldungen von AntiVir:

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\System Volume Information\_restore{4EE45741-BBCA-466D-99A5-2F0527E6F006}\RP21\A0001725.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [TR/Crypt.CFI.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
         

Code: Alles auswählenAufklappen

ATTFilter

In der Datei 'C:\System Volume Information\_restore{4EE45741-BBCA-466D-99A5-2F0527E6F006}\RP21\A0001727.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.CFI.Gen' [TR/Crypt.CFI.Gen] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
         

hab sie beide in Quarantäne verschoben

Ich versteh da nur Bahnhof...

Das ist erstmal OK, lass Malwarebytes aber noch weiter scannen und poste im Anschluss den Bericht!

so hier der Bericht von malwarebyte:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 564

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 76049
Scan Dauer: 13 minute(s), 11 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
         

er hat anscheinend nix gefunden

Mach bitte noch folgendes:


Schädlinge im Ordner der Systemwiederherstellung:

• Deaktiviere die Systemwiederherstellung -> So wird es gemacht.

(Systemwiederherstellung kann nun wieder aktiviert werden.)

Wenn dann keine Probleme oder Fragen mehr sind, sollte es das gewesen sein...