Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.Ciadoor.cj oder nur Fehlalarm?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.03.2009, 11:23   #1
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Hallo,

heute habe ich Spybot Search&Destroy aktualisiert und beim Scan die Meldung erhalten, dass ich den "Win32.Ciadoor.cj" habe.

Das Logfile von Spybot sieht so aus:

Win32.Ciadoor.cj: [SBI $F8F7B198] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XPROTECTOR

Win32.Ciadoor.cj: [SBI $CD1A07CB] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\XPROTECTOR

Nun habe ich GData Antivirus 2009 und Jotti (Onlinescanner mit mehreren Modulen) über die Datei Windows/system32/drivers/xprotector

laufen lassen, keines der Virenprogramme erkennt den Trojaner. Im Internet finde ich nun gegenläufige Meinungen.

HIER liest man, dass dieses File ein Trojaner sei, an anderer Stelle, eine notwendige Systemdatei.

Was ist nun richtig.

Anbei noch ein Hijackthis-Log. Bitte um Hilfe.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:20:02, on 07.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeskTask\DeskTask.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Bugnosis - {3A6514CD-A457-11D4-8AF3-000102686B79} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125419105453
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c98bd7196be260) (gupdate1c98bd7196be260) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Soweit ich das Logfile selbst auswerten kann, sehe ich dort keinen Trojaner. Vielleicht kann aber ein Versierterer noch mal bitte drüberschauen.

Danke euch

Alt 07.03.2009, 13:28   #2
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Hi,

ich ziehe es nochmal hoch. Bitte um kurze Antwort.
__________________


Alt 07.03.2009, 14:34   #3
undoreal
/// AVZ-Toolkit Guru
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Hallöle.

Editiere bitte zukünftig alle aktiven Links aus deinen logfiles! Ansonsten wird dein Beitrag ignoriert und gelöscht.


Wie lautet der vollständige Dateipfad bzw. wie die Endung der Datei?
Zitat:
Windows/system32/drivers/xprotector
Halli hallo

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


ISeeYouXP - XP
  • Lade dir das Tool IseeYouXp by ShadowPuterDude
  • Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
  • Schließe auch alle anderen Anwendungen!
  • Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  • Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
  • Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)
__________________
__________________

Alt 07.03.2009, 14:52   #4
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Zitat:
Zitat von undoreal Beitrag anzeigen
Hallöle.

Editiere bitte zukünftig alle aktiven Links aus deinen logfiles! Ansonsten wird dein Beitrag ignoriert und gelöscht.


Wie lautet der vollständige Dateipfad bzw. wie die Endung der Datei?

Hallo,

c:/windows/system32/drivers/xprotector.sys

Alt 07.03.2009, 15:08   #5
undoreal
/// AVZ-Toolkit Guru
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Poste bitte nachdem du die Grundsätzlichen Konfigurationen vorgenommen hast zusätzlich zum ISeeYou log noch den kompletten VT Bericht inkl. Hash Wert.

Das ISY log bitte erst erstellen nachdem du alles unnötige deisntalliert hast und den Rechner sauber konfiguriert hast.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 07.03.2009, 15:14   #6
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Zitat:
Zitat von undoreal Beitrag anzeigen
Poste bitte nachdem du die Grundsätzlichen Konfigurationen vorgenommen hast zusätzlich zum ISeeYou log noch den kompletten VT Bericht inkl. Hash Wert.

Das ISY log bitte erst erstellen nachdem du alles unnötige deisntalliert hast und den Rechner sauber konfiguriert hast.
Hi,

ich bin Laie, und weiß nicht, was ein ISeeYou log oder ein VT-Bereich sowie Hash-Wert ist. Wo finde ich diese?

Alt 07.03.2009, 18:12   #7
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Hi,

würde mich freuen, wenn sich jemand meiner Frage annehmen könnte. Ich habe alles so genau, wie möglich beschrieben.

Da es sich um meinen Büro-Rechner handelt, wäre es sehr unschön, wenn hier ein Trojaner sein Unwesen treiben würde. Bisher bin ich leider noch keinen Schritt weiter.

Alt 08.03.2009, 18:48   #8
undoreal
/// AVZ-Toolkit Guru
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Ich habe dir weiter unten alles gepostet was du brauchst. Lies dir meine Anleitung bitte nocheinmal genau durch.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 14.03.2009, 20:58   #9
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Zitat:
Zitat von undoreal Beitrag anzeigen
Ich habe dir weiter unten alles gepostet was du brauchst. Lies dir meine Anleitung bitte nocheinmal genau durch.
Hallo,

so, nun das Log von Anti-Malware und angehängt den Log von ISeeYou XP.

Anti-Maleware hat bis auf einen Hijacker nichts gefunden. ISeeYouXP eigentlich auch nichts, wenn ich das richtig überblicke. Heißt das, SpyBot hatte einen Fehlalarm?

Kannst du mir bitte ein FeedBack geben.

EDIT: Den ISeeYouXP-Log kann ich nicht anhängen. Es dürfen nur 19 KB angehängt werden, der Log hat aber 140Kb.


Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1848
Windows 5.1.2600 Service Pack 3

14.03.2009 20:19:28
mbam-log-2009-03-14 (20-19-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 238746
Laufzeit: 1 hour(s), 58 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 14.03.2009, 21:32   #10
undoreal
/// AVZ-Toolkit Guru
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Lade das ISeeYouXP log bei rapidshare hoch und poste den download Link.

Lade die Datei "c:/windows/system32/drivers/xprotector.sys" auf virustotal.com hoch und poste das Ergebniss.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.03.2009, 00:52   #11
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Zitat:
Zitat von undoreal Beitrag anzeigen
Lade das ISeeYouXP log bei rapidshare hoch und poste den download Link.

Lade die Datei "c:/windows/system32/drivers/xprotector.sys" auf virustotal.com hoch und poste das Ergebniss.
Jotti und Virustotal finden beide keinen Virus in der Datei, habe ich schon mal getestet und noch mal eben:

Datei Xprotector.sys empfangen 2009.03.15 00:48:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)


Hier noch der Link zu Rapidshare: http://rapidshare.de/files/46098212/ISeeYouXP.txt.html

Alt 15.03.2009, 09:57   #12
undoreal
/// AVZ-Toolkit Guru
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Treffer.

Bei dir laufen vermutlich 2 versteckte Prozesse...


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)
Zu Erst:
Zitat:
Registry Search
Dann:
Zitat:
AEB6717E-7E19-11d0-97EE-00C04FD91972
Danach:
Zitat:
56F9679E-7826-4C84-81F3-532071A8BCC5
Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)
Zu Erst: Danach:



Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

Nach den gleichen Phrasen durchsuche bitte deinen PC.
[/QUOTE]


Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

Nach den gleichen Phrasen durchsuche bitte deinen PC.[/QUOTE]


Gucke bitte im Taskmanager nach ob du die Proezesse mit den PIDs 1320 und 3952 finden kannst.

Auch wenn ich Lust hätte das Ding zu bereinigen muss ich drigned ans Herz legen deinen Rechner neuaufzusetzen... Ich glaube da läuft zusätzlich zu dem vermeindlichen CIADoor noch ein anderes Schadprogramm und wer weiss was noch alles.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.03.2009, 13:52   #13
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Hallo,

der Scan mit dem Reg-Scanner war negativ:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 15.03.2009 13:46:44 for strings:
; 'aeb6717e-7e19-11d0-97ee-00c04fd91972 '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 15.03.2009 13:48:20 for strings:
; '56f9679e-7826-4c84-81f3-532071a8bcc5 '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Einen Prozess mit der Nummer (Namen?) 1320 und 3952 lässt sich auch nicht finden.

Wo hast du denn die Information in dem Log gefunden, dass ich eventuell zwei versteckte Prozesse am Laufen habe?

Alt 15.03.2009, 14:02   #14
Crox11
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Ist das der Grund deines Verdachts? Ist ein Auszug aus der ISeeYouXP - ich habe ihn so interpretiert, dass es nicht zwingend ein Virus sein muss, sondern mit dem WINLanMiniport-Treiber zusammenhängen kann.



**** PPTP Haxdoor FOUND by this tool! ****
CAREFULL HERE THIS WILL ALSO FIND WinLanMiniport
Description REG_SZ Point to Point Tunneling-Protokoll (PPTP)
Description REG_SZ Point to Point Tunneling-Protokoll (PPTP)
Description REG_SZ Point to Point Tunneling-Protokoll (PPTP)



Wenn die Reg-Einträge nicht gefunden werden können, ist dann ein CIADoor-Befall unwahrscheinlich. Ich habe GDATA immer über meinem System laufen und schicke auch die gekaufte Vollversion meines U3-Sticks Avast-Virus immer wieder über den Rechner. Kein Programm findet z.B. einen CIADoor oder Ähnliches.


Ich habe noch diesen Hinweis im Internet gefunden:


XProtector.sys
(oreans32.sys, movitel.sys, Oreans.sys) Programme (C:\Windows(WINNT)\system32\drivers) Treiber der Kopierschutzsoftware (Anti-Cracking-Produkt) »Themida« (Nachfolger von XProtector), damit werden Anwendungen/Spiele verschlüsselt und verhindern so, daß man sie in einer virtuellen Maschine laufen läßt. Es ist kein Rootkit, zeigt nur ein ähnliches Verhalten, deshalb kommen oft Fehlalarme von Virenscannern. Einige Games (zum Beispiel das Game PREY) installiert den Treiber , Info


Games habe ich auf dem Rechner keine - aber einiges an teurer Originalsoftware (Bildbearbeitung etc. PP) - eventuell hat dies die XProtector.sys installiert. Auf meinen Notebook ist diese Datei nämlich auch vorhanden. Kann es sein, dass sie Teil von Photoshop Elements 7 ist - das läuft bei mir auf Desktop und Notebook. Mein Notebook hängt so gut wie nie am Internet und wird nur dienstlich eingesetzt, daher müsste hier ein Virus/Trojaner eher unwahrscheinlich sein. Da ich auf beiden Rechner Notebook/Desktop dieselbe Software installiert habe, muss die XProtector.sys durch ein Softwareprogramm auf den Rechner gelangt sein, das ich irgendwann mal gekauft habe.

Geändert von Crox11 (15.03.2009 um 14:46 Uhr)

Alt 15.03.2009, 15:44   #15
undoreal
/// AVZ-Toolkit Guru
 
Win32.Ciadoor.cj oder nur Fehlalarm? - Standard

Win32.Ciadoor.cj oder nur Fehlalarm?



Zitat:
Ist das der Grund deines Verdachts?
Nein.

Zitat:
Einen Prozess mit der Nummer (Namen?) 1320 und 3952 lässt sich auch nicht finden.
Wenn du im Teskmanager im Reiter "Dienste" nach der PID Adresse sortieren lässt müsstest du festellen können ob die Einträge dort sichtbar sind oder nicht.

Das MS Tool zur Entfernung bösartiger Software hat versucht diese beiden Adressen zu erreichen hat aber eine STOP-Fehlermeldung provoziert.

Das die Registry Einträge über RegSearch nicht gefunden werden ist sehr merkwürdig da sie im ISeeYouXP log def. gelistet werden.

Guck mal nach ob du sie über regedit sehen kannst.
Zitat:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ
{56F9679E-7826-4C84-81F3-532071A8BCC5} REG_SZ
Alledings könnte es auch gut sein, dass da etwas verhindert das diese Schlüssel sichtbar sind..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Win32.Ciadoor.cj oder nur Fehlalarm?
adobe, antivirus, auswerten, bho, canon, controlset002, einstellungen, excel, explorer, fehlalarm, firefox, g data, gdata, google, google update, gupdate, hijack, internet, internet explorer, logfile, magix, mozilla, nvidia, object, photoshop, plug-in, preferences, rundll, scan, server, software, system, windows xp




Ähnliche Themen: Win32.Ciadoor.cj oder nur Fehlalarm?


  1. Win32: Malware-gen / Win32: Trojan-gen bei Routinescan mit AVAST gefunden! Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2015 (5)
  2. Windows 7: Avast erkennt Win32:Evo-gen im Steam Ordner - Fehlalarm oder nicht?
    Log-Analyse und Auswertung - 13.01.2014 (7)
  3. System infiziert oder Fehlalarm? (Win32.Downloader.gen)
    Plagegeister aller Art und deren Bekämpfung - 24.12.2013 (1)
  4. Whistler A im MBR, oder Fehlalarm von NOD 32 ?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (1)
  5. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (25)
  6. Win32 Vitro Befall oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2010 (1)
  7. Fehlalarm oder echt
    Plagegeister aller Art und deren Bekämpfung - 15.07.2009 (1)
  8. Trojaner oder Fehlalarm? :O
    Log-Analyse und Auswertung - 11.02.2009 (2)
  9. Fehlalarm oder virus
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (8)
  10. IE7 vs Ebay oder Fehlalarm?
    Alles rund um Windows - 16.06.2008 (1)
  11. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2008 (1)
  12. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2007 (12)
  13. Win32.Backdoor.CiaDoor - Ad-Aware
    Plagegeister aller Art und deren Bekämpfung - 17.09.2007 (2)
  14. Win32.Backdoor.CiaDoor
    Plagegeister aller Art und deren Bekämpfung - 14.01.2007 (14)
  15. WIN32:Ciadoor-024
    Plagegeister aller Art und deren Bekämpfung - 14.12.2006 (5)
  16. Mögliche Backdoor.Win32.Ciadoor.13 Infizierung
    Log-Analyse und Auswertung - 19.09.2006 (7)
  17. scvhost.exe (win32:ciadoor-21) u.a. Firewall und Registry ohne Funktion
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (4)

Zum Thema Win32.Ciadoor.cj oder nur Fehlalarm? - Hallo, heute habe ich Spybot Search&Destroy aktualisiert und beim Scan die Meldung erhalten, dass ich den "Win32.Ciadoor.cj" habe. Das Logfile von Spybot sieht so aus: Win32.Ciadoor.cj: [SBI $F8F7B198] Einstellungen (Registrierungsdatenbank-Schlüssel, - Win32.Ciadoor.cj oder nur Fehlalarm?...
Archiv
Du betrachtest: Win32.Ciadoor.cj oder nur Fehlalarm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.