|
Plagegeister aller Art und deren Bekämpfung: Vermutlich Virendatei, die von keinem Scanner erkannt wird.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.09.2004, 19:01 | #1 |
| Vermutlich Virendatei, die von keinem Scanner erkannt wird. Hallo, ich habe einen seltsamen Prozess, bei dem es sich vermutlich um einen Trojaner handelt. Habe AntiVir, den Symantec Online-Check und Kaspersky auf die Datei losgeschickt, aber keiner wollte sie als Schädling bezeichnen. Das Tool "Trojanckeck 6" sagt es stehe in Verbindung zu einem Virus "bär.exe" den ich im Internet als den Trojaner Troj/Crypter-C identifiziert habe. Dort wird der Prozess allerdings unter dem Namen audcntr.exe angegeben. Bei mir heisst er dvraudio.exe und befindet sich im Ordner Windows/prefetch. Wenn ich ihn manuell lösche ist die Datei und der laufende Prozess nach einem Neustart wieder da, wenn ich die Datei in meiner Systemsteuerung/Software löschen möchte, wird ein Code generiert und ich werde aufgefordert, diesen einzugeben um damit die Datei zu deinstallieren. Da mir das sehr komisch vorkommt habe ich das nicht gemacht. Kann mir jemand helfen, wie ich diesen Parasiten wieder von meinem System vertreiben kann? Gruß Bernd Geändert von andorra (05.09.2004 um 19:08 Uhr) |
05.09.2004, 22:10 | #2 |
| Vermutlich Virendatei, die von keinem Scanner erkannt wird. Bist du sicher das du einen Virus hast?Denn im Ordner Prefetch der im Verzeichnis:C:\Windows\Prefetch liegt in den Ordner speichert Windows alle Anwendungen die du mal gestartet hast um eben schneller an die Dateien zu kommen.Soll den Rechner schneller machen.Vieleicht hast du ja ein Musikprogramm oder ähnliches installiert und es gestartet dann ist die Datei wieder im Ordner drinnen so geht es mit allen Anwendungen oder Spiele.Mann soll den Inhalt des Ordners alle paar Wochen löschen soll die Performence erhöhen.Musst mal schauen ob die Datei "der Name"ähnlich ist wie eine A´nwendung die du vieleicht installiert hast(Musik oder so)
__________________Hoffe ich konnte Dir etwas helfen! mfg Andy66 |
05.09.2004, 22:13 | #3 |
| Vermutlich Virendatei, die von keinem Scanner erkannt wird. Hallo andorra,
__________________poste bitte ein logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html . SD |
06.09.2004, 14:17 | #4 |
| Vermutlich Virendatei, die von keinem Scanner erkannt wird. Hier das Logfile: Logfile of HijackThis v1.98.2 Scan saved at 15:10:42, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\windows\system32\dvraudio.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Bernd\Eigene Dateien\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.netcologne.de/ F3 - REG:win.ini: run=c:\windows\system32\dvraudio.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: ppctlcab - hxxp://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - hxxp://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Sicher bin ich mir natürlich nicht, ob es sich um einen Virus, Trojaner, Dailer oder einen ungefährlichen Prozess handelt. Es macht mich nur stutzig, dass ich in sowohl manuell als auch mit dem Tool "Trojanercheck 6" löschen kann und nach dem nächsten Neustart ist der Prozess wieder aktiv. Außerdem kommt es mir schon seltsam vor, wenn ein Programm, das ich aus meiner Softwareliste löschen will, einen Code generiert, den ich zum löschen eingeben soll. In der Logfile wird die Datei dvraudio.exe im Ordner windows/system32 angezeigt. Dort kann ich sie allerdings nicht finden, sondern im Ordner prefetch, wo ich sie bereits mehrmals gelöscht habe, sie aber immer wieder erscheint. Gruß Bernd |
06.09.2004, 14:35 | #5 |
| Vermutlich Virendatei, die von keinem Scanner erkannt wird. Das dürfte mit ziemlicher Wahrscheinlichkeit ein Schädling sein, alles, was im system als Prozess auftaucht und geladen wird, wozu man aber bei den einschlägigen Seiten nichts findet, ist fast schon als solcher identifiziert. Außerdem werden hire noch einige weitere mögliche Dateinamen für den Trojaner/Crypter angegeben: http://www.sophos.de/virusinfo/analy...jcrypterc.html unter anderem audiodrv.exe, audioinf.exe also durchaus ähnliche. Versuche es mal hier zu checken: http://virusscan.jotti.org/de und schicke die Datei mit einem link zu diesem Thread an virus@av.klaffke.info damit er evtl. eingepflegt werden kann. Ansonsten deaktivieren die Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html fixe den Eintrag mit Hijackthis C:\windows\system32\dvraudio.exe F3 - REG:win.ini: run=c:\windows\system32\dvraudio.exe boote in den abgesicherten Modus und scanne dort noch mal mit E-Scan: http://www.trojaner-board.de/42731-escan-anleitung.html in den normalen Modus booten, Systemwiederherstellung aktivieren, neues Logfile erstellen. Ich würde außerdem eine Neuinstallation ins Auge fassen, da dieser Trojaner alle möglichen weiteren Schädlinge heruntergeladen haben könnte. |
Themen zu Vermutlich Virendatei, die von keinem Scanner erkannt wird. |
antivir, befindet, code, datei, erkannt, handel, helfen, ide, interne, internet, kaspersky, löschen, manuell, meinem, namen, neustart, online-check, ordner, prozess, scan, scanner, schädling, seltsame, seltsamen, symantec, tool, trojaner, unter, verbindung, virus |