Mega Trainer XL wird als Trojaner angezeigt

Held15 · 21.09.2008, 13:10

hallo also ich verwende Windows XP SP2
und Avira+Spywareterminator
also hab mir mega Trainer xl heruntergeladen direkt nach dem starten von mega trainer xl hat mir avira einen Trojaner in dieser Datei angezeigt
nämlich in
C:\Programme\MegaDev\MD-Trainers\MegaTrainer XL\MegaTrainerXL.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.618496.B' [trojan] gefunden.
hab das Programm heute gelöscht aber ich glaube es sind noch teile davon noch da da mein Rechner extrem langsam arbeitet
aber es kann vielleicht sein das sich ein anderer Virus auf meinem pc befindet
überprüft deshalb bitte mein logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:43, on 21.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Portrait Displays\HP My Display\DTHtml.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\philipp\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
C:\Dokumente und Einstellungen\philipp\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\K-Meleon\loader.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\K-Meleon\k-meleon.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DT HPW] C:\Programme\Portrait Displays\HP My Display\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\philipp\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-602162358-220523388-682003330-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Internet')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: K-Meleon Loader.lnk = C:\Programme\K-Meleon\loader.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

myrtille · 21.09.2008, 13:16

Hi,

das scheint ein Fehler von Antivir zu sein.

Hier wurde die Datei vor 2 Wochen an Avira gesandt, die die Datei als sauber identifiziert hat.

Ich würde dir dasselbe empfehlen: Wenn die Datei noch auf deinem Rechner ist, dann schicke die Datei bitte als "FalsePositive" an Avira zu senden.
Anleitung dazu gibt es hier
Zur eigenen Beruhigung kannst du die Datei auch bei virustotal überprüfen ob andere Hersteller die Datei als bösartig erkennen.

lg myrtille

Held15 · 21.09.2008, 13:23

das problem ist das auch spywareterminator hat mir 3 trojaner bei der datei angezeigt hab den bericht leider nicht mehr aber einer war der gleiche den avira angezeigt hat kann man trotzdem mein logfile überprüfen

myrtille · 21.09.2008, 13:57

Hi,

ich hätte schon was gesagt, wenn dein Hijackthislog nicht sauber wäre.

In dem Log sieht man nur, dass du offensichtlich Chrome ausprobiert hast, weswgen jetzt das Google Update läuft.
Das solltest du aber über Start->Systemsteuerung->Software eigentlich wieder deinstallieren können.
Ansonsten sieht man nichts.

Ich finde nirgends einen Hinweis darauf dass megatrainerxl.exe wirklich malware enthält.

Du kannst sicherheitshalber zb noch Malwarebytes über den Rechner jagen. Vielleicht findet das ja was.
Oder einen Onlinescan mit Kaspersky machen:

Kaspersky - Onlinescanner
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.
---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren
=> Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK
=> Link "Arbeitsplatz" anklicken => Scan beginnt automatisch
=> Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern
=> Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
lg myrtille

Held15 · 21.09.2008, 15:57

habs Malwarebytes drüber laufen lassen dabei findet er jetzt:\Programme\LOADSTREET\Systerac XP Tools 4\iea.exe (Rogue.PornCleanser) -> No action taken was soll das sein

myrtille · 21.09.2008, 16:46

Hi,

es könnte sich um einen Fehlalarm handeln. Kennst du das Programm? Hast du es selbst installiert?

Lade die Datei bitte mal auf virustotal hoch und poste das Ergebnis dann hier.

lg myrtille

21.09.2008, 16:46	#6
myrtille /// TB-Ausbilder	Mega Trainer XL wird als Trojaner angezeigt Hi, es könnte sich um einen Fehlalarm handeln. Kennst du das Programm? Hast du es selbst installiert? Lade die Datei bitte mal auf virustotal hoch und poste das Ergebnis dann hier. lg myrtille __________________ --> Mega Trainer XL wird als Trojaner angezeigt

Mega Trainer XL wird als Trojaner angezeigt

Log-Analyse und Auswertung: Mega Trainer XL wird als Trojaner angezeigt