• Hallo Gast!
    Noch bis zum 20.07. kannst Du an unserer Umfrage zum Hersteller des Jahres teilnehmen! Als Gewinn verlosen wir unter allen Teilnehmern dieses Mal eine Grafikkarte Eurer Wahl für bis zu 1.000 EUR - über eine Teilnahme würden wir uns sehr freuen!

Win32.TrojanDropper entfernen?

C

Calvin

Neuling
Thread Starter
Mitglied seit
04.12.2006
Beiträge
51
Hi Leute,

ich hab mal wieder einen Virenscan durchgeführt und ich mach das immer mit AntiVir PE Classic und Ad-Aware SE Personal. AntiVir hat nichts gefunden (obwohl es meistens mehr findet) doch Ad-Aware hat 4 Win32.TrojanDropper gefunden. Ich kann 3 davon löschen, einer jedoch bleibt immer da und reproduziert die restlichen 3 Stück wieder von neuem. Ich hab schon diverse andere Scanner ausprobiert nur hatte ich immer zwei Probleme:
1) Win32.TrojanDropper konnte nicht gefunden werden (Scanner hat nichts gefunden)
2) Win32.TrojanDropper wurde entdeckt jedoch konnte ich es aufgrund einer Shareware nicht entfernen.

Was kann ich dagegen tun, jedes Programm, das gut ist und die Dinger finden würde und zudem auch noch gut entfernen könnte, macht das nur als Vollversion und das möchte ich nicht, und jedes andere Programm findet die Dinger nicht richtig. Hab sie schon in der Regestry gefunden, jedoch kann ich den Haupteintrag nicht löschen, der die Dinger wieder reproduziert. Habt ihr eine Ahnung, wie ich die Dinger wegbekomm?
Es ist wirklich wichtig, danke Smile
Hinzugefügter Post:
--------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 16:01:29 24.04.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{C432326B-17FA-4CBB-B4B5-7BB53F027C08}\RP1\A0000086.dll -> Rootkit.Settec : Gesäubert.
C:\System Volume Information\_restore{C432326B-17FA-4CBB-B4B5-7BB53F027C08}\RP1\A0000096.exe -> Rootkit.Settec : Gesäubert.
E:\Downloads\Hotfix Dual-Core\hotfix kb896256 [fastest wyzo download].exe -> Trojan.Obfuscated.en : Gesäubert.


::Berichtende

Hab gleich nach dem Neustart nochmal Ad-Aware drüberlaufen lassen, hat leider wieder diesen Win32.TrojanDropper gefunden Sad
Ich mach jetzt mit der "Liste" weiter.
Hinzugefügter Post:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:14:54, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HybridTM_IR(A)\RC620_A.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Shortcuts\Programme\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HybridTM_A] C:\Programme\HybridTM_IR(A)\RC620_A.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\bootvid.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F868D1-4057-4305-AF5F-D1624C93B102}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F868D1-4057-4305-AF5F-D1624C93B102}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: ddcya - C:\WINDOWS\
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6184 bytes
Hinzugefügter Post:
Panda Bericht:

Ereignis Zustand Standort

Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Mediaplex Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Tradedoubler Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/WebtrendsLive Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[statse.webtrendslive.com/]
Spyware:Cookie/Overture Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.overture.com/]
Spyware:Cookie/Hitbox Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.hitbox.com/]
Spyware:Cookie/Clickbank Nicht desinfiziert C:\Dokumente und Einstellungen\Hobbes\Anwendungsdaten\Mozilla\Firefox\Profiles\fp3c5cyh.default\cookies.txt[.clickbank.net/]
Hinzugefügter Post:
So der letzte Bericht, hat leider auch nichts hervorgebracht Sad .
Wie ich schon sagte, entweder der Trojaner wird nicht gefunden oder er kann nicht entfernt werden....

04/24/07 17:58:59 [Info]: BlackLight Engine 1.0.61 initialized
04/24/07 17:58:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/24/07 17:58:59 [Note]: 7019 4
04/24/07 17:58:59 [Note]: 7005 0
04/24/07 17:59:23 [Note]: 7006 0
04/24/07 17:59:23 [Note]: 7011 3440
04/24/07 17:59:23 [Note]: 7026 0
04/24/07 17:59:23 [Note]: 7026 0
04/24/07 17:59:25 [Note]: FSRAW library version 1.7.1021
04/24/07 18:02:23 [Note]: 2000 1012
04/24/07 18:02:24 [Note]: 2000 1012
04/24/07 18:08:41 [Note]: 7007 0
Hinzugefügter Post:
Also ich hoffe ihr könnt mir vllt mit den gegebenen Daten helfen. Wäre echt super, da ich keine Lust habe, mein ganzes System neu auszuspielen! :fire:
Hinzugefügter Post:
Hier noch ein Teil des Berichts von Ad-Aware, wo mir gezeigt wird, wo der Trojaner sein sollte, leider kann ich den Regestryeintrag nicht löschen:

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.TrojanDropper Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\enum\root\legacy_ip6fw

Registry Scan result:
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
booten im abgesicherten modus und scan wiederholen.
versuchs auch mit spybot.

naja dem antivir traue ich net, nutze bitdefeder 10.
würde dir die 8ter schicken, hab eine freie vollversion, aber hier ausm hotel,
ist die linie lahm.

mfg
 
Ja, die Frage ist nur, welches Programm ich verwenden soll? Könnte Ewido gehen, Spyware Terminator soll auch recht zuverlässig sein.
Spybot hab ich schon probiert und der hat nichts gefunden.

P.S.: Hab schon mit zwei Programmen im abgesichterten Modus gescannt, und bei einem hab ich etwas gefunden und gelöscht, leider war nach dem Neustart wieder alles da.
 
Calvin schrieb:
Ja, die Frage ist nur, welches Programm ich verwenden soll? Könnte Ewido gehen, Spyware Terminator soll auch recht zuverlässig sein.
Spybot hab ich schon probiert und der hat nichts gefunden.

P.S.: Hab schon mit zwei Programmen im abgesichterten Modus gescannt, und bei einem hab ich etwas gefunden und gelöscht, leider war nach dem Neustart wieder alles da.
Zum Vergrößern anklicken....

dann das nochmals abgesichert löschen,
autostart durchschauen + registery und msconfig von hand nach den eintrag suchen und manuel entfernen.
du könntest doch pcgh holen und dort ist glaub immer kaspersky druff, damit probieren, kost ja nur 4,90 dvd version.
mfg
 
kaspersky kann man auch als probeversion aus dem internet laden :)
hab selbst kav und bin sehr zufrieden. probiers einfach mal aus.
 
Habs jetzt mit dem Terminator, Ewido, Kaspersky und noch einem anderen probiert. Leider ohen jeglichem Erfolg. Nur der Terminator hat etwas gefunden, konnte es aber nicht löschen.
Zu dem manuellen löschen, natürlich habe ich das schon längst versucht, jedoch kann ich diesen Eintrag nicht löschen: system\currentcontrolset\enum\root\legacy_ip6fw

Er verweigert mir darauf den Zugriff, das könnte auch das Problem der Scanner sein, auch im abgesichterten Modus wird der Zugriff davon verweigert, ich versuchs jetzt mit HiJackThis das Zeug manuell zu löschen und geh dann nochmal mit eScan in den abgesicherten Modus und werd da nochmal scannen, danach schick ich euch nochmal den neuen HiJackThis Log, oder habt ihr noch Vorschläge?

P.S.: Werd nach dem Scannen im aM nochmals im normalen Modus scannen, doch davor meine Temporärfiles löschen, sowie Systemwiederherstellung deaktivieren und neue Startseite einstellen, vllt hilfts was ;)
 
Du musst in der Reg einfach nur die Zugriffsberechtigungen ändern, dann kannst du den Eintrag auch löschen.

Das hier
C:\System Volume Information\_restore{C432326B-17FA-4CBB-B4B5-7BB53F027C08}\RP1\A0000086.dll -> Rootkit.Settec : Gesäubert.
C:\System Volume Information\_restore{C432326B-17FA-4CBB-B4B5-7BB53F027C08}\RP1\A0000096.exe -> Rootkit.Settec : Gesäubert.
E:\Downloads\Hotfix Dual-Core\hotfix kb896256 [fastest wyzo download].exe -> Trojan.Obfuscated.en : Gesäubert.
Zum Vergrößern anklicken....

Sieht eh reichlich ungesund aus. Schalt erst mal die Systemwiederherstellung ab, damit der Schädling diese nicht ausnutzen kann. Und wenn du wirklich nen rootkit auf dem System haben solltest, kommst du um eine Neuinstallation eh nicht rum. Rumgebastel bringt dir dann nur eine Scheinsicherheit. ;)

PS:
Was für nen angeblicher DualCore Hotfix war das? Wieso ziehst du sowas nicht aus offiziellen Quellen, also direkt von Microsoft? :hmm:

EDIT:

Laut hier wäre es nen false-positive ->http://www.freesoft-board.to/f389/trojaner-entfernen-216823.html
 
Zuletzt bearbeitet:
Danke für die Tipps und dem Post aus nem anderen Forum. Wie der andere User hatte ich auch keine direkten Probleme mit dem Ding, was mich nur stutzig macht ist, dass ich auch seitdem her etwas öfter mit dem Internet Probleme hab, also, dass er mich einfach mal wieder rausschemißt und so. Aber ansonsten nichts, der PC ist schnell etc. und über ZoneAlarm sehe ich keine Upload der abnormal wäre.
Trotzdem stört er mich irgendwie, weil ich mir doch nicht sicher sein kann, er nicht doch etwas macht.........hier nochmal mein HiJackThis Log nach den ganzen Scans etc. von oben:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:25:22, on 25.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HybridTM_IR(A)\RC620_A.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Shortcuts\Programme\HiJackThis_v2.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HybridTM_A] C:\Programme\HybridTM_IR(A)\RC620_A.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F868D1-4057-4305-AF5F-D1624C93B102}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F868D1-4057-4305-AF5F-D1624C93B102}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4974 bytes

Ich konnte die Berechtigungen nicht verändern, da mir darauf der Zugriff verweigert wurde, hab nun aus dem Internet noch so eine *.bat Liste kopiert und ausgeführt, damit die Berechtigungen wieder frei sind. Hat geklappt und jetzt konnte ich den Eintrag löschen ----> Trojaner ist zur Zeit weg, ich schau nochmal, nachdem ich eine Neustart gemacht habe, ob das immer noch der Fall ist ;)
Schon mal danke für eure Hilfe.
 
Zuletzt bearbeitet:
Du hast laut oben dem einen Scan ja auch nen rootkit drauf, getrennt vom Trojaner. Nen Rootkit wäre, sofern die Meldung stimmt, verdammt übel. Sowas gräbt sich richtig tief ins System und tarnt sich so gut es geht. Die meisten Virenscanner sind mit guten Rootkits überfordert.

Und das ZA nichts meldet wundert mich nicht. Das würde bei anständige Malware nie was melden. Die würden das einfach tunneln oder anderswertig an ZA vorbeischleußen. Ne Softwarefirewall ist, bei einem gut konfigurierten System, einfach nur überflüssig und bringt einem höchstens eine Scheinsicherheit. ;)

Bezügen deinem Problem wäre es vieleicht sinnvoll wenn du das ganze im trojanerboard melden würdest. Die können dir dort mit Sicherheit besser weiterhelfen als ich und auch mit Sicherheit sagen, ob es nen false-positive ist, oder nicht. Da du I-Net Probleme hast würde ich aber eher von einer Infektion ausgehen. ;)

Und nun n8.

PS:
Nur weil dein PC nicht "lahmt" heißt es noch lange nicht, dass der Schädling nichts macht. JEDER Schädling hat seine Aufgabe und bei rootkits fährt man dann oft nen "Zombi-Rechner" für irgendwelche Botnetze. Das bremst dich in keinsterweise aus, aber der Verwalter des Netzes kann mit deinem Rechner dann z.B. DoS Angriffe fahren usw.

Aber wie gesagt, frag wegen deinen probleme am besten mal im Trojanerboard nach. Ich bin da kein Experte. ;)
 
Anmelden, um zu antworten.

Ähnliche Themen

M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
4K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh