|
Plagegeister aller Art und deren Bekämpfung: Work Examiner Standard!A2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.07.2009, 08:22 | #1 |
| Work Examiner Standard!A2 Hallo, ich habe mir wohl etwas eingefangen und bekomme es nicht mehr los. Trotz scan und Löschung im abgesicherten Modus mit abegeschalteter Systemwiederherstellung, ist der Trojaner nach Neustart wieder da. Als Anhang das a-squared File und Highjack-Log. a-squared Free - Version 4.5 Letztes Update: 09.07.2009 06:32:01 Scan Einstellungen: Scan Methode: Schnelltest Objekte: Speicher, Traces, Cookies Archiv Scan: An Heuristik: Aus ADS Scan: An Scan Beginn: 11.07.2009 08:51:49 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FileZilla Server\Enum --> 0 gefunden: Trace.Registry.Work Examiner Standard!A2 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FileZilla Server\Enum --> Count gefunden: Trace.Registry.Work Examiner Standard!A2 Value: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FileZilla Server\Enum --> NextInstance gefunden: Trace.Registry.Work Examiner Standard!A2 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileZilla Server\Enum --> 0 gefunden: Trace.Registry.Work Examiner Standard!A2 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileZilla Server\Enum --> Count gefunden: Trace.Registry.Work Examiner Standard!A2 Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FileZilla Server\Enum --> NextInstance gefunden: Trace.Registry.Work Examiner Standard!A2 Gescannt Dateien: 939 Traces: 631072 Cookies: 5 Prozesse: 30 Gefunden Dateien: 0 Traces: 6 Cookies: 0 Prozesse: 0 Registry Keys: 0 Scan Ende: 11.07.2009 08:53:55 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:55:28, on 11.07.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\a-squared Free\a2service.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TomTom HOME 2\TomTomHOMEService.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\umonit.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\totalcmd\TOTALCMD.EXE c:\Highjack\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3723 bytes Vielen Dank im Voraus. Oliver |
11.07.2009, 19:34 | #2 |
| Work Examiner Standard!A2 Moin Olivier,
__________________es handelt sich hier um einen Fehlalarm von a-squared. -> Einträge des ftp-servers (filezilla) und "schlechte" Signaturen von a² sind der Grund. hth DaleCooper edit: Es geht nicht um einen "Trojaner", sondern um potentiell gefährliche Registry-einträge. Einen ftp-Server zu betreiben ist "potentiell" nicht ohne, insoweit hat a² schon recht (auch wenn die Meldung -so wie sie erscheint- Schwachsinn ist). Geändert von ordell1234 (11.07.2009 um 19:42 Uhr) |
Themen zu Work Examiner Standard!A2 |
abgesicherten modus, antivir, antivir guard, avira, controlset002, desktop, dll, einstellungen, explorer, file, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, micro, neustart, nvidia, programme, rundll, scan, server, software, systemwiederherstellung, traces, trojaner, uleadburninghelper, windows, windows xp |