|
Kriege Trojaner nicht gelöscht!? Hallo! Ich habe einen oder evtl sogar mehrere Trojaner auf meinem PC. Ich nutze die Antiviren Programme "Avira Antivir" und "Ad-Aware SE Personal" Beschreibung meines Problems: Nachdem ich den PC gebootet hab, kommt sofort nach dem Willkommensgruß die Meldung von Avira, dass ich einen Trojaner, namens TR/Drop.Agent.dgo8 in meinem System32 Ordner hab. Ich habe schon versucht den Virus dann per Avira zu löschen oder in die Quarantäne zu verfrachten um ihn von da aus zu löschen, das scheint zwar immer zu funktionieren, aber mein Antiviren Programm meldet sich immer wieder nachdem der Rechner neu hochgefahren ist. Ich habe mich schon seit 4 Tagen mit meinem Problem beschäftigt (hab Freunde gefragt und viel gegoogelt). Bei meiner Googlerecherche hab ich gelesen, dass man die .exe-Datei, die der Virus ja ist, im abgesicherten Modus löschen kann. Das hab ich dann auch versucht, und die Datei wurde in den Papierkorb verfrachtet und von dort aus ins Nirvana geschickt, aber beim nächsten mal booten, kam wieder die Meldung, dass sich der Virus in der Datei vtsqp.exe, im system32 befindet... Der Trojaner macht sich auch in keinster Weiße bemerkbar, außer, dass Avira mir jedesmal anzeigt, dass er existiert, wa smit natürlich Sorgen bereitet. Nun meine Bitte: kennt sich jemand hier mit diesem Problem aus, und könnte mir weiter helfen? Ich bin bei meinen Recherchen auf dieses Forum gestoßen und es kam mir sehr seriös vor, daher wollte ich jetzt hier mein Glück versuchen... Ich danke allen, die mir versuchen zu helfen :) |
Lad dir mal Hijackthis runter , installier es , klick "Do a system scan and save a logfile" und dann kopier den Log ohne Veränderungen hier rein. Hier kannst du Hijackthis downloaden: HijackThis 2.0.2 - Freeware - ZDNet.de, Downloads, Internet & Kommunikation, Sonstige |
Danke, für die Hilfe! Hier der Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:11:50, on 03.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\lgbjrotu.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Logitech\SetPoint\SetPoint.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\explorer.exe C:\Spiele\Counter-Strike Source\hl2.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\iTunes\iTunes.exe C:\Programme\Last.fm\LastFMHelper.exe C:\Programme\Last.fm\LastFM.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DomainService - - C:\WINDOWS\system32\lgbjrotu.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 5588 bytes Damit kann ich leider gar nichts anfangen... |
Fixe folgende Einträge ( Häkchen vor die einträge setzten und auf fixen klicken) : C:\WINDOWS\system32\lgbjrotu.exe F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqp.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O23 - Service: DomainService - - C:\WINDOWS\system32\lgbjrotu.exe Danach lass Antivir im Abgesicherten Modus (F8 beim Booten drücken) scannen , und behebe gefundene Infektionen |
Hallo, @ Dr.PC Als Doktor sollte man mehr können als ein Logfile in die automatische Auswertung zu stecken..:o Insbesondere sollte man sich vor vorschnellen Hilfestellungen hüten ,wenn das eigentliche Problem nicht erkannt ist !! Wo auch immer du deinen Doktor herhast...bei mir dürftest du nach Lage der Dinge nicht mal studieren....:kloppen: @larian lasse diese Datei Zitat:
Irrlicht |
@ irrlicht: ich stecks nicht nur in die Automatische Auswertung denn das könnte ja jeder^^ Nur wenn die Automatische Auswertung einen Prozess als unbekannt erkennt wird es nicht gerade ein vertrauenswürdiges Programm sein , und da sogar sein Antivir meldet das er einen Trojaner hat liegt es doch nahe das dieser Prozzes etwas mit dem Trojaner zu tun hat oder??? |
Danke @ Irrlicht Das Ergebnis: Virustotal. MD5: 2881a2cc5b73c800e65f723a734fb7ba Trojan.Vundo AdClicker-FK Trojan-Downloader.Win32.Agent.gwe damit weiß ich leider auch nichts anzufangen :o |
Nicht gut, kannst Du das bei dieser Datei auch noch mal machen? Code: C:\WINDOWS\system32\vtsqp.exe |
Zitat:
Ich scann die mal. Danke für deine Hilfe! EDIT: Hier der Scan: Virustotal. MD5: e2ebc4c7c1a06e8be9aecf3dd263ccfc Trojan.Vundo Win32/Adware.Virtumonde.FP Trojan.Vundo.DUH |
larian Es ist Ad- bzw. Spyware *Virtumonde*, Du hast 2 Möglichkeiten, entweder Bereinigungsversuch mit Vundofix oder format : C resp. Image zurückspielen. Link zu Vundofix: Vundofix Die 2. Möglichkeit ist selbsterklärend. Unterschiede der beiden Methoden, die 1. ist unsicher, die 2. ist sicher. |
Das hört sich ja gar nich gut an :( Könnte ich nich einfach Windows neu installieren? |
Zitat:
Zitat:
|
Danke für eure Hilfen! Mit Vundofix habe ich alle Trojaner runterbekommen! :bussi: Danke an alle dir mir geholfen haben :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board