Hallo,

ich habe einen seltsamen Prozess, bei dem es sich vermutlich um einen Trojaner handelt. Habe AntiVir, den Symantec Online-Check und Kaspersky auf die Datei losgeschickt, aber keiner wollte sie als Schädling bezeichnen. Das Tool "Trojanckeck 6" sagt es stehe in Verbindung zu einem Virus "bär.exe" den ich im Internet als den Trojaner Troj/Crypter-C identifiziert habe. Dort wird der Prozess allerdings unter dem Namen audcntr.exe angegeben. Bei mir heisst er dvraudio.exe und befindet sich im Ordner Windows/prefetch.
Wenn ich ihn manuell lösche ist die Datei und der laufende Prozess nach einem Neustart wieder da, wenn ich die Datei in meiner Systemsteuerung/Software löschen möchte, wird ein Code generiert und ich werde aufgefordert, diesen einzugeben um damit die Datei zu deinstallieren. Da mir das sehr komisch vorkommt habe ich das nicht gemacht.

Kann mir jemand helfen, wie ich diesen Parasiten wieder von meinem System vertreiben kann?

Gruß Bernd

Bist du sicher das du einen Virus hast?Denn im Ordner Prefetch der im Verzeichnis:C:\Windows\Prefetch liegt in den Ordner speichert Windows alle Anwendungen die du mal gestartet hast um eben schneller an die Dateien zu kommen.Soll den Rechner schneller machen.Vieleicht hast du ja ein Musikprogramm oder ähnliches installiert und es gestartet dann ist die Datei wieder im Ordner drinnen so geht es mit allen Anwendungen oder Spiele.Mann soll den Inhalt des Ordners alle paar Wochen löschen soll die Performence erhöhen.Musst mal schauen ob die Datei "der Name"ähnlich ist wie eine A´nwendung die du vieleicht installiert hast(Musik oder so)
Hoffe ich konnte Dir etwas helfen!
mfg
Andy66

Hallo andorra,

poste bitte ein logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html .
SD

Hier das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 15:10:42, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system32\dvraudio.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Bernd\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.netcologne.de/
F3 - REG:win.ini: run=c:\windows\system32\dvraudio.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: ppctlcab - hxxp://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - hxxp://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab



Sicher bin ich mir natürlich nicht, ob es sich um einen Virus, Trojaner, Dailer oder einen ungefährlichen Prozess handelt. Es macht mich nur stutzig, dass ich in sowohl manuell als auch mit dem Tool "Trojanercheck 6" löschen kann und nach dem nächsten Neustart ist der Prozess wieder aktiv. Außerdem kommt es mir schon seltsam vor, wenn ein Programm, das ich aus meiner Softwareliste löschen will, einen Code generiert, den ich zum löschen eingeben soll.

In der Logfile wird die Datei dvraudio.exe im Ordner windows/system32 angezeigt. Dort kann ich sie allerdings nicht finden, sondern im Ordner prefetch, wo ich sie bereits mehrmals gelöscht habe, sie aber immer wieder erscheint.

Gruß Bernd

Das dürfte mit ziemlicher Wahrscheinlichkeit ein Schädling sein, alles, was im system als Prozess auftaucht und geladen wird, wozu man aber bei den einschlägigen Seiten nichts findet, ist fast schon als solcher identifiziert. Außerdem werden hire noch einige weitere mögliche Dateinamen für den Trojaner/Crypter angegeben:

http://www.sophos.de/virusinfo/analy...jcrypterc.html

unter anderem audiodrv.exe, audioinf.exe also durchaus ähnliche.

Versuche es mal hier zu checken:

http://virusscan.jotti.org/de

und schicke die Datei mit einem link zu diesem Thread an virus@av.klaffke.info
damit er evtl. eingepflegt werden kann.

Ansonsten deaktivieren die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

fixe den Eintrag mit Hijackthis

C:\windows\system32\dvraudio.exe
F3 - REG:win.ini: run=c:\windows\system32\dvraudio.exe


boote in den abgesicherten Modus und scanne dort noch mal mit E-Scan:

http://www.trojaner-board.de/42731-escan-anleitung.html

in den normalen Modus booten, Systemwiederherstellung aktivieren, neues Logfile erstellen.

Ich würde außerdem eine Neuinstallation ins Auge fassen, da dieser Trojaner alle möglichen weiteren Schädlinge heruntergeladen haben könnte.