[Hilfe]Habe offensichtliche einen Trojaner/Virus

mOnTi · 8. Juli 2007

Hallo RR'ler

Brauche dringend Hilfe . Habe vorraussichtlich einen Trojaner aufm Pc . Aufgefallen is mir das heute beim spielen , da jedes Spiel in Zeitlupe abgelaufen ist. Hab erstma den Virusscanner von Kasersky drüberlaufen lassen , der hat aber nix gebracht . Dann hab ich mal meine Prozesse angeschaut und festgestellt , dass ich eine 2te avp.exe habe die immens viel cpu verbraucht. Daraufhin habe ich gegooglet und herausgefungen , dass das ein keylogger / trojaner ist. Wie soll ich jetzt damit umgehen ? Hab relativ wenig Erfahrung mit soetwas. Mein Kaspersky erkennt ja nix

Bitte um Hilfe.

Mfg mOnTi

Dealz: stark reduzierte Angebote finden.

Cpt.Xer0 · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

Bei solchen Viren, wenn es wirklich welche sind, Neu installieren von Windows mit Formatierung der Festplatte!
Warum?
Weil Trojainer und auch Viren, noch so einiges anderes anstellen können, als Dateien befallen oder Ports zu öffnen

Du weißt quasi nie 100%, ob Du wirklich nach einer Reinigung, clean bist

mOnTi · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

ich hab erst vor einer Woche meinen Pc neu aufgesetzt... oh man ich hab langsam echt kein Bock mehr

..... naja danke dir schonmal

Mfg mOnTi

Cpt.Xer0 · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

hmm
Ich hab das hier auch noch gefunden...

und noch was!

Gemeinsame Nutzung von Kaspersky Labs Produkte Versionen 6.0 und 7.0 und Firewalls von Drittanbietern

Die Informationen in diesem Artikel beziehen sich auf:
# Kaspersky Anti-Virus 7.0 (Version 7.0.0.119)
# Kaspersky Internet Security 7.0 (Version 7.0.0.119)
# Kaspersky Anti-Virus 6.0 (alle Versionen)
# Kaspersky Internet Security 6.0 (alle Versionen)
# Kaspersky Anti-Virus 6.0 für Windows Workstations MP2

Beim Parallelbetrieb mit Firewalls von Drittanbietern mit Kaspersky Labs Produkt Version 6.0\7.0 können die folgenden Probleme auftreten:

# E-Mail-Nachrichten lassen sich nicht versenden und/oder empfangen
# Internet-Seiten lassen sich nicht öffnen oder werden nicht richtig angezeigt
# Internet-Verbindung stuerzt sofort nach dem Aufbauen oder nach einiger Zeit ab
Hier könnte auch das Problem von Dir stehen Eventuell mal checken, ob deine Firewall von Windows auch abgeschaltet ist!<-Beigeschrieben von Xpt.Xer0

Kaspersky Anti-Virus 6.0\7.0 arbeitet im Server-Modus, dadurch prueft es den gesamten Internet- und Email-Traffic und baut die Verbindung mit den Severn im Internet auf. Daher ist es notwendig, die Regeln fuer den Dienst AVP.EXE in der Firewall zu erstellen.

# Wenn die vorhandene Firewall einen Trainingsmodus enthaelt, schalten Sie diesen bitte an. Beim Zugreifen des Diensts AVP.EXE auf das Internet wird dann die Firewall darueber informieren. Dieser Dienst muss dann für belibege Netzwerkaktivitaet zugelassen werden.
# Wenn die vorhandene Firewall keinen Trainingsmodus enthaelt, dann muss man per Hand Regeln fuer den Prozess AVP.EXE für untenbenannte Ports erstellen:

Port fuer den Prozess AVP.EXE: 1110
Standard HTTP-Ports: 80, 81, 82, 83, 1080, 7900, 8080, 8088, 3128, 11523
Standard SMTP-Port: 25
Standard POP3-Port: 110
Standard NNTP-Port: 119
Standard IMAP-Port: 143

Information Falls der Port 1110 geschlossen ist, dann beginnt der Prozess AVP.EXE auf den Ports 1110 bis 2110 solange einen offenen Port zu suchen, bis er einen offenen findet.
Das könnte doch auch quasi das system total belasten oder? oder ? <-Beigeschrieben von Xpt.Xer0
[forms: 155720761 not found]

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

mOnTi · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

omg omg

Ich bin in solchen Sachen ein totaler Boon

. Also das einzige was ich aus dem verstanden hab ist , dass es schlecht wäre wenn ich meine Windoof Firewall noch anhätte.... hab ich nicht...
und sonst weiß ich nich so recht was ich damit jetzt anfangen soll...

Aber danke dir !!!

Mfg mOnTi

spotting · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

hmmm...

eine zweite AVP.exe?

deinstalliere Kaspersky
wenn du dann anch deinstallation und rechnerneustart immer noch ein AVP.exe unter den prozessen hast,

dann zeige uns ein Hijackthis log:
Anleitung
Zeige mir das Logfile von HJT indem du es als [code*] - [/code*] postest.

ansonsten hat Cpt.Xer0 recht, wenn es ein trojaner ist, kann man nie sicher sein den trojaner vollständig entfernt zu haben,
und nie sicher sein, dass sich der trojaner nicht vielleicht hintertüren im system offen gelassen hat.
dann ist eine formatierung und neusintallation wirklich die einizge sichere alternative.
und wie das geht, habe ich in meiner faq (signatur) beschrieben.

mOnTi · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

also hier is das logfile

Code:

 Logfile of HijackThis v1.99.1
Scan saved at 20:47:03, on 08.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Steam.exe
D:\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
D:\Xfire\xfire.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DIEDAD~1\LOKALE~1\Temp\Rar$EX00.765\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ashampoo FireWall] "D:\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Xfire.lnk = D:\Xfire\xfire.exe
O4 - Global Startup: Kaspersky Internet Security 7.0.lnk = C:\Programme\avp.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D8954B8-AE0E-464D-9819-8C05E8BB90A1}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

danke dir schonmal

Mfg mOnTi

spotting · 8. Juli 2007

AW: [Hilfe]Haber offensichtliche einen Trojaner/Virus

1.
D:\Ashampoo FireWall\FireWall.exe"
desktop firewalls sind unnötig-.

2.
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

kasperksy UND antivir = Kein Schutz.
Spybot dann noch mit dazu, und die verlangsamen das system unnötig.
du solltest dich auf EINE Antivirensoftware mit hintergrundscanner entscheiden.

3.
Sind dies die wirklichen installationsordner?
C:\Programme\avp.exe
D:\Steam.exe

ich würde dir raten, beide dateien bei Jotti online malware scan oder virustotal online scan zu testen und die ergebnisse hier zu posten.

4. nimm die *** aus den

Code:

 - tags raus.
die sind nur dazu da, damit sich das nicht automatisch in meinem sticky umwandelt.
mfg spotting

mOnTi · 8. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

jooo ich weiß , ich hab auch schon alles deinstalliert , aber ich krieg das Zeug irgendwie ned ganz weg

.

Und die Datei avp.exe find ich irgendwie ned ... Das einzige was ich mit avp find ist im Ordner C:/Windows/Prefetch

Zu der Steam.exe :

Code:

Antivirus Version Update Result
AhnLab-V3 2007.7.7.0 07.06.2007 no virus found
AntiVir 7.4.0.39 07.08.2007 no virus found
Authentium 4.93.8 07.07.2007 no virus found
Avast 4.7.997.0 07.08.2007 no virus found
AVG 7.5.0.476 07.07.2007 no virus found
BitDefender 7.2 07.08.2007 no virus found
CAT-QuickHeal 9.00 07.07.2007 no virus found
ClamAV devel-20070416 07.08.2007 no virus found
DrWeb 4.33 07.08.2007 no virus found
eSafe 7.0.15.0 07.08.2007 no virus found
eTrust-Vet 30.8.3769 07.07.2007 no virus found
Ewido 4.0 07.08.2007 no virus found
FileAdvisor 1 07.08.2007 no virus found
Fortinet 2.91.0.0 07.08.2007 no virus found
F-Prot 4.3.2.48 07.06.2007 no virus found
Ikarus T3.1.1.8 07.08.2007 no virus found
Kaspersky 4.0.2.24 07.08.2007 no virus found
McAfee 5069 07.06.2007 no virus found
Microsoft 1.2704 07.08.2007 no virus found
NOD32v2 2384 07.08.2007 no virus found
Norman 5.80.02 07.06.2007 no virus found
Panda 9.0.0.4 07.08.2007 no virus found
Sophos 4.19.0 07.06.2007 no virus found
Sunbelt 2.2.907.0 07.07.2007 no virus found
Symantec 10 07.08.2007 no virus found
TheHacker 6.1.6.143 07.05.2007 no virus found
VBA32 3.12.0.2 07.07.2007 no virus found
VirusBuster 4.3.23:9 07.08.2007 no virus found
Webwasher-Gateway 6.0.1 07.08.2007 no virus found

Aditional Information
File size: 1258744 bytes
MD5: 4816244c7486bf1d747a5b30023b67e5
SHA1: 9af4935b6aa7e5d30cf1f61912eb2b8347fad31f

Mfg mOnTi

spotting · 8. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

treten die probleme, die du hast mit zeitlupe und cpulast auch weiterhin auf?

zu dem prefetch ordner,
dass ist irrelevant.
malware habe ich dort bisher noch nicht gesehen ... eigentlich eine sicherheitslücke

mOnTi · 9. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

so hallo bin wieder da .. hab jetzt mal meine pc im safe mode die nacht über gescannt.. hat sich aber nix verändert.. hat auch nix gefunden

@ spotting : ja diese Zeitlupen sind immer noch da

. Kann man das jetzt irgendwie feststellen ob das ein Virus ist ::

Danke dir schonmal für deine Hilfe !!!

Mfg mOnTi

spotting · 9. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

deaktiviere nicht unbedingt benötigtes in deinem autostart.
damit gewinnst du systemleistung.

geht am besten mit "autoruns" von "sysinternals.com"

dabei gilt,
was du nicht kennst bleibt drin.
was du nicht kennst, und nicht bei google findest, frag hier nach.
was du kennst und nicht brauchst fliegt raus.

C:\WINDOWS\system32\oodag.exe
...
C:\Programme\Java\jre1.6.0\bin\jusched.exe
...
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe - ctfmon reomver --> googlen
D:\Steam.exe
D:\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe (deaktivieren, funktioniert das internet nach nem neustart nicht mehr, wieder reaktivieren.
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
D:\Xfire\xfire.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe

was du von diesen programmen alles im autostart findest, fliegt raus.

mfg

mOnTi · 9. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

jop mach ich...

aber das hat doch alles nix mit dem angeblichen Virus zu tun ....?

Ich hab nen relativ schnellen Rechner also von der Systemleistung dürfte die Zeitlupe nicht kommen. Die is ja ach erst seit n paar Tagen.

Aber ich glaub das mit der avp.exe hat sich erledigt , da ich die jetzt nichtmehr unter meinen Prozessen find.

Also von demher... bin mir eben nur ned sicher ob diese Zeitlupe von nem Virus jetzt kommt...

Danke dir aber schonmal

Mfg mOnTi

spotting · 9. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

bislang habe ich keine hinweise für malware finden können.

du hattest zwischenzeitlich zwei hintergrundscanner aktiv am arbeiten.
zeitlupeneffekte, große festplattenauslastung etc sind typische symptome für ein solches phänomen.
deshalb auch nochmal der hinweis, alles unnötige aus dem autostart zu entfernen.

geht das nicht,

escan anleitung
Lies alle drei Seiten der Anleitung
Bearbeite das Logfile (mwav.log) vom Escan indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das Wort "infected" enthällt in deiner nächsten Antwort wiedergibts.

allerdings bezweifele ich, dass du etwas finden wirst.

deine systemauslastung, diese zeitlupeneffekte können aber auch ganz andere gründe haben.
so z.B. Staub im gehäuse, schlechte Kühlung,
Fehlerhafte Übertaktung ...

aber da du erstmal selber von malware ausgegangen bist, habe ich erstmal in dieser richtung ein paar fragen gestellt.

mfg spotting

mOnTi · 10. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

also ich hab jetzt erstma , dass mit autoruns gemacht.... und festgestellt , dass wenn ich die autostart von AVP.exe wegmach , sofort ein neues Autostartsymbol von AVP.exe erscheint. Wenn ich dann da den Haken wegmach , kommt das gleich wieder...

Edit: Das selbe passiert auch mit den autorun symbolen von der ashampoo firewall, und der vom anti vir personal...

Was hat das zu bedeuten??

danke dir

Mfg mOnTi

spotting · 10. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

das ist ein selbstschutz der antivirenprogramme
solange sie im hintergrund laufen, kann man ihren autostart nicht deaktivieren.
deinstalliere diese programme und prüfe dann, ob immer noch etwas von ihnen im autostart ist.

mOnTi · 10. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

hab alles schon deinstalliert... schon vor ner Zeit.. hinten im Bereich Zielordner , steht auch File not found....

naja auf jeden Fall seit grad eben , hab ich beim spielen komischer weise keine Zeitlupe mehr... ich hab keine Ahnung wieso , ist auf jeden Fall TOp

Mfg mOnTi

KeKo · 10. Juli 2007

AW: [Hilfe]Habe offensichtliche einen Trojaner/Virus

das gleiche problem hatte ich auch mal. ich ahbe einfach trojan remover runtergeladen und der hat den trojaner weggemacht. hier kannste dir trojan remover runterladen:
http://www.chip.de/downloads/c1_downloads_13015091.html

falls das auch nicht hilft musst du leider dein pc neu formatieren

MfG

KeKo

[Hilfe]Habe offensichtliche einen Trojaner/Virus

Anzeige

Videos zum Thema

Warum Banken Angst vor Kryptowährungen haben

Lisa Eckhart: "Haben wir Sex oder spielen wir Mikado?" | Nuhr im Ersten

Videos die man gesehen haben muss...

Gerontimous – Die Alten haben sich verbündet

EMail Ordner sortieren nach dem Alphabet

Annonce

Annonce

Nützliche Suchen

[Hilfe]Habe offensichtliche einen Trojaner/Virus

Anzeige

Videos zum Thema

Warum Banken Angst vor Kryptowährungen haben

Lisa Eckhart: "Haben wir Sex oder spielen wir Mikado?" | Nuhr im Ersten

Videos die man gesehen haben muss...

Gerontimous – Die Alten haben sich verbündet

EMail Ordner sortieren nach dem Alphabet