|
Plagegeister aller Art und deren Bekämpfung: Win32.Ciadoor.cj oder nur Fehlalarm?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.03.2009, 11:23 | #1 |
| Win32.Ciadoor.cj oder nur Fehlalarm? Hallo, heute habe ich Spybot Search&Destroy aktualisiert und beim Scan die Meldung erhalten, dass ich den "Win32.Ciadoor.cj" habe. Das Logfile von Spybot sieht so aus: Win32.Ciadoor.cj: [SBI $F8F7B198] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\XPROTECTOR Win32.Ciadoor.cj: [SBI $CD1A07CB] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\XPROTECTOR Nun habe ich GData Antivirus 2009 und Jotti (Onlinescanner mit mehreren Modulen) über die Datei Windows/system32/drivers/xprotector laufen lassen, keines der Virenprogramme erkennt den Trojaner. Im Internet finde ich nun gegenläufige Meinungen. HIER liest man, dass dieses File ein Trojaner sei, an anderer Stelle, eine notwendige Systemdatei. Was ist nun richtig. Anbei noch ein Hijackthis-Log. Bitte um Hilfe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:20:02, on 07.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\HP\KBD\KBD.EXE C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\MICROS~3\wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DeskTask\DeskTask.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: Bugnosis - {3A6514CD-A457-11D4-8AF3-000102686B79} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file) O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\AntiVirus\AVKTray\AVKTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125419105453 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA\AntiVirus\AVK\AVKWCtl.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c98bd7196be260) (gupdate1c98bd7196be260) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Soweit ich das Logfile selbst auswerten kann, sehe ich dort keinen Trojaner. Vielleicht kann aber ein Versierterer noch mal bitte drüberschauen. Danke euch |
07.03.2009, 13:28 | #2 |
| Win32.Ciadoor.cj oder nur Fehlalarm? Hi,
__________________ich ziehe es nochmal hoch. Bitte um kurze Antwort. |
07.03.2009, 14:34 | #3 | |
/// AVZ-Toolkit Guru | Win32.Ciadoor.cj oder nur Fehlalarm? Hallöle.
__________________Editiere bitte zukünftig alle aktiven Links aus deinen logfiles! Ansonsten wird dein Beitrag ignoriert und gelöscht. Wie lautet der vollständige Dateipfad bzw. wie die Endung der Datei? Zitat:
Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
ISeeYouXP - XP
__________________ |
07.03.2009, 14:52 | #4 | |
| Win32.Ciadoor.cj oder nur Fehlalarm?Zitat:
c:/windows/system32/drivers/xprotector.sys |
07.03.2009, 15:08 | #5 |
/// AVZ-Toolkit Guru | Win32.Ciadoor.cj oder nur Fehlalarm? Poste bitte nachdem du die Grundsätzlichen Konfigurationen vorgenommen hast zusätzlich zum ISeeYou log noch den kompletten VT Bericht inkl. Hash Wert. Das ISY log bitte erst erstellen nachdem du alles unnötige deisntalliert hast und den Rechner sauber konfiguriert hast.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
07.03.2009, 15:14 | #6 | |
| Win32.Ciadoor.cj oder nur Fehlalarm?Zitat:
ich bin Laie, und weiß nicht, was ein ISeeYou log oder ein VT-Bereich sowie Hash-Wert ist. Wo finde ich diese? |
07.03.2009, 18:12 | #7 |
| Win32.Ciadoor.cj oder nur Fehlalarm? Hi, würde mich freuen, wenn sich jemand meiner Frage annehmen könnte. Ich habe alles so genau, wie möglich beschrieben. Da es sich um meinen Büro-Rechner handelt, wäre es sehr unschön, wenn hier ein Trojaner sein Unwesen treiben würde. Bisher bin ich leider noch keinen Schritt weiter. |
08.03.2009, 18:48 | #8 |
/// AVZ-Toolkit Guru | Win32.Ciadoor.cj oder nur Fehlalarm? Ich habe dir weiter unten alles gepostet was du brauchst. Lies dir meine Anleitung bitte nocheinmal genau durch.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
14.03.2009, 20:58 | #9 | |
| Win32.Ciadoor.cj oder nur Fehlalarm?Zitat:
so, nun das Log von Anti-Malware und angehängt den Log von ISeeYou XP. Anti-Maleware hat bis auf einen Hijacker nichts gefunden. ISeeYouXP eigentlich auch nichts, wenn ich das richtig überblicke. Heißt das, SpyBot hatte einen Fehlalarm? Kannst du mir bitte ein FeedBack geben. EDIT: Den ISeeYouXP-Log kann ich nicht anhängen. Es dürfen nur 19 KB angehängt werden, der Log hat aber 140Kb. Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1848 Windows 5.1.2600 Service Pack 3 14.03.2009 20:19:28 mbam-log-2009-03-14 (20-19-28).txt Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|) Durchsuchte Objekte: 238746 Laufzeit: 1 hour(s), 58 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
14.03.2009, 21:32 | #10 |
/// AVZ-Toolkit Guru | Win32.Ciadoor.cj oder nur Fehlalarm? Lade das ISeeYouXP log bei rapidshare hoch und poste den download Link. Lade die Datei "c:/windows/system32/drivers/xprotector.sys" auf virustotal.com hoch und poste das Ergebniss.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
15.03.2009, 00:52 | #11 | |
| Win32.Ciadoor.cj oder nur Fehlalarm?Zitat:
Datei Xprotector.sys empfangen 2009.03.15 00:48:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/39 (0%) Hier noch der Link zu Rapidshare: http://rapidshare.de/files/46098212/ISeeYouXP.txt.html |
15.03.2009, 09:57 | #12 | |||
/// AVZ-Toolkit Guru | Win32.Ciadoor.cj oder nur Fehlalarm? Treffer. Bei dir laufen vermutlich 2 versteckte Prozesse... Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) Zu Erst: Zitat:
Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. Nach den gleichen Phrasen durchsuche bitte deinen PC.[/QUOTE] Gucke bitte im Taskmanager nach ob du die Proezesse mit den PIDs 1320 und 3952 finden kannst. Auch wenn ich Lust hätte das Ding zu bereinigen muss ich drigned ans Herz legen deinen Rechner neuaufzusetzen... Ich glaube da läuft zusätzlich zu dem vermeindlichen CIADoor noch ein anderes Schadprogramm und wer weiss was noch alles.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
15.03.2009, 13:52 | #13 |
| Win32.Ciadoor.cj oder nur Fehlalarm? Hallo, der Scan mit dem Reg-Scanner war negativ: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 15.03.2009 13:46:44 for strings: ; 'aeb6717e-7e19-11d0-97ee-00c04fd91972 ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 15.03.2009 13:48:20 for strings: ; '56f9679e-7826-4c84-81f3-532071a8bcc5 ' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Einen Prozess mit der Nummer (Namen?) 1320 und 3952 lässt sich auch nicht finden. Wo hast du denn die Information in dem Log gefunden, dass ich eventuell zwei versteckte Prozesse am Laufen habe? |
15.03.2009, 14:02 | #14 |
| Win32.Ciadoor.cj oder nur Fehlalarm? Ist das der Grund deines Verdachts? Ist ein Auszug aus der ISeeYouXP - ich habe ihn so interpretiert, dass es nicht zwingend ein Virus sein muss, sondern mit dem WINLanMiniport-Treiber zusammenhängen kann. **** PPTP Haxdoor FOUND by this tool! **** CAREFULL HERE THIS WILL ALSO FIND WinLanMiniport Description REG_SZ Point to Point Tunneling-Protokoll (PPTP) Description REG_SZ Point to Point Tunneling-Protokoll (PPTP) Description REG_SZ Point to Point Tunneling-Protokoll (PPTP) Wenn die Reg-Einträge nicht gefunden werden können, ist dann ein CIADoor-Befall unwahrscheinlich. Ich habe GDATA immer über meinem System laufen und schicke auch die gekaufte Vollversion meines U3-Sticks Avast-Virus immer wieder über den Rechner. Kein Programm findet z.B. einen CIADoor oder Ähnliches. Ich habe noch diesen Hinweis im Internet gefunden: XProtector.sys (oreans32.sys, movitel.sys, Oreans.sys) Programme (C:\Windows(WINNT)\system32\drivers) Treiber der Kopierschutzsoftware (Anti-Cracking-Produkt) »Themida« (Nachfolger von XProtector), damit werden Anwendungen/Spiele verschlüsselt und verhindern so, daß man sie in einer virtuellen Maschine laufen läßt. Es ist kein Rootkit, zeigt nur ein ähnliches Verhalten, deshalb kommen oft Fehlalarme von Virenscannern. Einige Games (zum Beispiel das Game PREY) installiert den Treiber , Info Games habe ich auf dem Rechner keine - aber einiges an teurer Originalsoftware (Bildbearbeitung etc. PP) - eventuell hat dies die XProtector.sys installiert. Auf meinen Notebook ist diese Datei nämlich auch vorhanden. Kann es sein, dass sie Teil von Photoshop Elements 7 ist - das läuft bei mir auf Desktop und Notebook. Mein Notebook hängt so gut wie nie am Internet und wird nur dienstlich eingesetzt, daher müsste hier ein Virus/Trojaner eher unwahrscheinlich sein. Da ich auf beiden Rechner Notebook/Desktop dieselbe Software installiert habe, muss die XProtector.sys durch ein Softwareprogramm auf den Rechner gelangt sein, das ich irgendwann mal gekauft habe. Geändert von Crox11 (15.03.2009 um 14:46 Uhr) |
15.03.2009, 15:44 | #15 | |||
/// AVZ-Toolkit Guru | Win32.Ciadoor.cj oder nur Fehlalarm?Zitat:
Zitat:
Das MS Tool zur Entfernung bösartiger Software hat versucht diese beiden Adressen zu erreichen hat aber eine STOP-Fehlermeldung provoziert. Das die Registry Einträge über RegSearch nicht gefunden werden ist sehr merkwürdig da sie im ISeeYouXP log def. gelistet werden. Guck mal nach ob du sie über regedit sehen kannst. Zitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
Themen zu Win32.Ciadoor.cj oder nur Fehlalarm? |
adobe, antivirus, auswerten, bho, canon, controlset002, einstellungen, excel, explorer, fehlalarm, firefox, g data, gdata, google, google update, gupdate, hijack, internet, internet explorer, logfile, magix, mozilla, nvidia, object, photoshop, plug-in, preferences, rundll, scan, server, software, system, windows xp |