#1 30. Juli 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 huhu liebe rr'ler, ich bekomm von AntiVir immer ne meldung, dass er nen Trojaner gefunden hat. den lösch ich natürlich immer. aber nach 1-2 Tagen bekomm ich immer und immer wieder die gleiche meldung! https://www.xup.in/pic,10308424/ virus.JPG woher kommt der? hat der sich irgendwo eingenistet und "aktiviert" sich wieder wenn der gelöscht wird? und vor allem, wie rotte ich das scheiss ding aus -.- bw für jeden hilfreichen beitrag garantiert! lg, die sabrina + Multi-Zitat Zitieren
#2 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt Schmeiß mal testweise avast drauf... Danach aktivierst du bei avast die zeitlich gesteuerte überprüfung. Nach einem neustart scannt avast die festplatte ohne das windows gebootet wird. Der Trojaner kann sich selbst also nicht mehr schützen bzw neu wiederherstellen. + Multi-Zitat Zitieren
#3 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt Poste am besten mal Hijack logfile. >>>http://www.hijackthis.de/de<<< + Multi-Zitat Zitieren
#4 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt hier ist die logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:10:40, on 30.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\WZShutdown\P_zero.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system\CmSNXeye.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Adobe Photoshop CS3\Photoshop.exe C:\Programme\FlashFXP\FlashFXP.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - C:\Programme\Rapidown\rapi310.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Download all by Rapidown... - C:\Programme\Rapidown\rapidownGetAll.htm O8 - Extra context menu item: Download by Rapidown... - C:\Programme\Rapidown\rapidownGet.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208879133656 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - kidszone.de - Schueler.CC: Die Webcommunity für Schüler sagt Danke für die schöne Zeit! O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - MSN Games - Free Online Games O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - MSN Games - Free Online Games O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8156 bytes + Multi-Zitat Zitieren
#5 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt kp was das ist aber sieht verdächtig aus c:\windows\system32\nwprovau.dll. ansonsten sehe ich nichts auffälliges. hatte das problem mit avira aber auch der fand immer wieder was im system volume information einfach mal den ordner mittels cals freigeben für deinen benutzer und den kompletten inhalt löschen. das sollte eigentlich helfen. + Multi-Zitat Zitieren
#6 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt dann soll ich also c:\windows\system32\nwprovau.dll und alles was im system volume information ordner ist löschen? + Multi-Zitat Zitieren
#7 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt nicht ganz richtig im normalfall ist die nwprovau.dll ein Microsoft Klientenservice für Versorger- und Authentisierungspaket-DLL von NetWare. hatte das eine Zeitlang auch mal, kann dir aber nicht sagen was ich da gemacht hab^^ würde mal im Abgesicherten Modus starten, und dann antivir drüber laufen lassen und wenn er was findet in dem Ordner auf löschen klicken^^. Ansonsten den Ordner freigeben, damit du drauf Zugriff hast und alles was dort drin ist löschen + Multi-Zitat Zitieren
#8 30. Juli 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Scheiss Trojaner der immer wieder kommt Hallo SabRina, lösche mal deine ganzen Temporäre Dateien/Webcache: Firefox: Extras->Private Daten löschen->Überall ein Haken->Private Daten löschen bzw. OK {img-src: http://www1.ku-eichstaett.de/urz/inkuerze/2_06/firefox7.gif} Internet Explorer 7: Extras->Internetoptionen->Löschen->Alle Löschen {bild-down: http://www.skat-online.com/jwstprob4.jpg} Internet Explorer 6: Extras->Internetoptionen->Dateien löschen {bild-down: http://de.gwars-wiki.info/images/b/b3/Browsercache_loeschen_ie6_1.gif} Wenn du Firefox benutzt, dann bitte auch Internet Explorer Cache löschen!! Viel Glück! Grüße Kirill + Multi-Zitat Zitieren
#9 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt das erste was zu machen ist: Spybot drüber Virenscanner HiJack danach im Abgesicherten Modus starten, dort den Trojaner löschen. dann gibts programme die deine REG überwachen, wo einträge gemacht werden können die programme starten beim windows start.......besorg dir das mal für die zukunft: Trojancheck beorgen, spybot, gescheiten AV, updates immer aktuell halten usw + Multi-Zitat Zitieren
#10 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt nur mal ein genereller tipp. n trjaner is meisten nur auf der partition auf der windows ist. wenn du jetzt ne c: partition hast auf der nur windows ist, kannst du n paar wichtige dateien saven und kannst dann c formatieren und windows neu draufspielen. danach is bei mir alles vieren und trojaner frei. Programme und Games funktionieren teilweise noch, bei anderen musst du die fehlenden dlls runterladen und in den system 32 ordner stecken. Aber so wies aussieht hast du einfach alles auf c gepackt... + Multi-Zitat Zitieren
#11 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt Hey... also lad dir mal n Antivirus proggie wurden ja schon einige genannt... dann machstn reboot in den Abgesicherten Modus (warum? ganz einfach, weil viele dienste, vorallendingen die Netzwerkdienste nicht mitgestartet werden), dann lässte mal komplett n scan laufen, und löscht die infizierten Dateien, meistens wirkt das wunder... naja...hab ich früher immer so gemacht, seitdem ich dowipe entdeckt habe..jede 4 Wochen format c: und windows neu druff xD so long pampers + Multi-Zitat Zitieren
#12 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt Hi Denn habe ich auch schon gehabt. Er kam bei mir auch immer wieder. Da er aus mehreren Dateien besteht,ist er schlecht zu löschen. Habe in aber wegbekommen. Der Hauptteil sitzt im System Volume Information Ordner. Zuerst siehst Du denn Ordner nicht und denn Inhalt kannst Du nicht löschen. Standort ist. C:\ Extra / Ordneroptionen / Ansicht Dann Häckchen bei Geschützte Systemdateien ausblenden (empfohlen) Alle Dateien und Ordner anzeigen ändern. Denn System Volume Information Ordner kannst Du dann mit diesem Befehl öffnen. per Eingabeaufforderung cacls "c:\System Volume Information" /E /G BENUTZERNAME:F BENUTZERNAME = Der Name des momentan Angemeldeten Users Danach hast Du Zugriff auf den Ordner. Ich habe damals denn gesamten Inhalt gelöscht und gut war`s. Hatte nie wieder Probleme damit. !!! Alle Angaben ohne Gewähr !!! + Multi-Zitat Zitieren
#13 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt warum Format:C??? gibt doch genügend Proggies, die das beheben + Multi-Zitat Zitieren
#14 30. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt Geh in den Abgesicherten Modus und mach da nochmal nen Virenscan. Allerdings würd ich dir bei nem Trojaner immer format C: empfehlen . Da hasse wieder nen flottes System und vorallem Trojanerfrei. + Multi-Zitat Zitieren
#15 31. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt Weil es nicht immer sicher ist, das er vollständig erkannt bzw. entfernt wird. + Multi-Zitat Zitieren
#16 31. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt C:\WINDOWS\system\CmSNXeye.exe was ist das? deine webcam? + Multi-Zitat Zitieren
#17 31. Juli 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Scheiss Trojaner der immer wieder kommt als ich mein PC gerade angemacht hab kam genau das gleiche bei mir aber naja löschen konnte ich es bis jetzt vll kommts ja nachher wieder^^ und ich hab kaspersky + Multi-Zitat Zitieren
#18 31. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt vor 2 jahren habe ich auch antivir benutzt und hatte das gleiche problem. glaub mir es liegt am programm es ist einfach zu schlecht. hol dir wie ich damals kaspersky egal welche version und lass mal dein system komplett checken. wenn du weiterhin das problem hast kannst du nochmal schreiben und wir schauen hier weiter... soviel von mir + Multi-Zitat Zitieren
#19 31. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt ich würde auf jedenfall die SYSTEMWIEDERHERSTELLUNG auf allen laufwerken deaktiveren, denn der trojaner kann sich damit regelmäsig nach jedem neustart wiederherstellen... + Multi-Zitat Zitieren
#20 31. Juli 2008 AW: Scheiss Trojaner der immer wieder kommt sowas geht auch? ist das ne schweinerei -.- also, wenn ich dann die systemwiederherstellung deaktiviere und den virus demnächst dann lösch... kommt er dann vllt nich wieder? ^^ keine ahnung was das ist ^^ + Multi-Zitat Zitieren
#21 31. Juli 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Scheiss Trojaner der immer wieder kommt Naja ich hab mal gegoogled und die meinten diese blablaeye.exe sei ein treiber. CmSNXeye.exe Windows process - What is it? Du weißt den namen vom Virus. Antivir kann es nicht löschen, also wird die Datei benutzt. Geh mal im abgesicherten Modus und such nach der Datei. Versuch es dann Manuell zu löschen bzw. mit Unlocker. + Multi-Zitat Zitieren