Hallo,
ich habe mir wohl etwas eingefangen und bekomme es nicht mehr los. Trotz scan und Löschung im abgesicherten Modus mit abegeschalteter Systemwiederherstellung, ist der Trojaner nach Neustart wieder da. Als Anhang das a-squared File und Highjack-Log.

a-squared Free - Version 4.5
Letztes Update: 09.07.2009 06:32:01

Scan Einstellungen:

Scan Methode: Schnelltest
Objekte: Speicher, Traces, Cookies
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 11.07.2009 08:51:49

Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FileZilla Server\Enum --> 0 gefunden: Trace.Registry.Work Examiner Standard!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FileZilla Server\Enum --> Count gefunden: Trace.Registry.Work Examiner Standard!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FileZilla Server\Enum --> NextInstance gefunden: Trace.Registry.Work Examiner Standard!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileZilla Server\Enum --> 0 gefunden: Trace.Registry.Work Examiner Standard!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileZilla Server\Enum --> Count gefunden: Trace.Registry.Work Examiner Standard!A2
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileZilla Server\Enum --> NextInstance gefunden: Trace.Registry.Work Examiner Standard!A2

Gescannt

Dateien: 939
Traces: 631072
Cookies: 5
Prozesse: 30

Gefunden

Dateien: 0
Traces: 6
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 11.07.2009 08:53:55



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:55:28, on 11.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\umonit.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\totalcmd\TOTALCMD.EXE
c:\Highjack\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 3723 bytes

Vielen Dank im Voraus.

Oliver

Moin Olivier,

es handelt sich hier um einen Fehlalarm von a-squared. -> Einträge des ftp-servers (filezilla) und "schlechte" Signaturen von a² sind der Grund.

hth DaleCooper

edit:

Zitat:

Zitat von oliver.k

Trotz scan und Löschung im abgesicherten Modus mit abegeschalteter Systemwiederherstellung, ist der Trojaner nach Neustart wieder da.

Es geht nicht um einen "Trojaner", sondern um potentiell gefährliche Registry-einträge. Einen ftp-Server zu betreiben ist "potentiell" nicht ohne, insoweit hat a² schon recht (auch wenn die Meldung -so wie sie erscheint- Schwachsinn ist).