Scheiss Trojaner der immer wieder kommt

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von SabRina, 30. Juli 2008 .

Schlagworte:
  1. 30. Juli 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    huhu liebe rr'ler,

    ich bekomm von AntiVir immer ne meldung, dass er nen Trojaner gefunden hat. den lösch ich natürlich immer. aber nach 1-2 Tagen bekomm ich immer und immer wieder die gleiche meldung!

    https://www.xup.in/pic,10308424/ virus.JPG

    woher kommt der? hat der sich irgendwo eingenistet und "aktiviert" sich wieder wenn der gelöscht wird? und vor allem, wie rotte ich das scheiss ding aus -.-

    bw für jeden hilfreichen beitrag garantiert!

    lg, die sabrina
     
  2. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    Schmeiß mal testweise avast drauf...
    Danach aktivierst du bei avast die zeitlich gesteuerte überprüfung.
    Nach einem neustart scannt avast die festplatte ohne das windows gebootet wird.
    Der Trojaner kann sich selbst also nicht mehr schützen bzw neu wiederherstellen.
     
  3. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    Poste am besten mal Hijack logfile. >>>http://www.hijackthis.de/de<<<
     
  4. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    hier ist die logfile

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:10:40, on 30.07.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Unlocker\UnlockerAssistant.exe
    C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
    C:\WZShutdown\P_zero.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system\CmSNXeye.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Adobe\Adobe Photoshop CS3\Photoshop.exe
    C:\Programme\FlashFXP\FlashFXP.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - C:\Programme\Rapidown\rapi310.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
    O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Download all by Rapidown... - C:\Programme\Rapidown\rapidownGetAll.htm
    O8 - Extra context menu item: Download by Rapidown... - C:\Programme\Rapidown\rapidownGet.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
    O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe
    O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Programme\Rapidown\rapidown.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208879133656
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
    O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - kidszone.de - Schueler.CC: Die Webcommunity für Schüler sagt Danke für die schöne Zeit!
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - MSN Games - Free Online Games
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - MSN Games - Free Online Games
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

    --
    End of file - 8156 bytes
     
  5. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    kp was das ist aber sieht verdächtig aus c:\windows\system32\nwprovau.dll. ansonsten sehe ich nichts auffälliges. hatte das problem mit avira aber auch der fand immer wieder was im system volume information

    einfach mal den ordner mittels cals freigeben für deinen benutzer und den kompletten inhalt löschen. das sollte eigentlich helfen.
     
  6. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    dann soll ich also c:\windows\system32\nwprovau.dll und alles was im system volume information ordner ist löschen?
     
  7. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    nicht ganz richtig
    im normalfall ist die nwprovau.dll
    ein Microsoft Klientenservice für Versorger- und Authentisierungspaket-DLL von NetWare.

    hatte das eine Zeitlang auch mal, kann dir aber nicht sagen was ich da gemacht hab^^
    würde mal im Abgesicherten Modus starten, und dann antivir drüber laufen lassen und wenn er was findet in dem Ordner auf löschen klicken^^.

    Ansonsten den Ordner freigeben, damit du drauf Zugriff hast und alles was dort drin ist löschen
     
  8. 30. Juli 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Scheiss Trojaner der immer wieder kommt

    Hallo SabRina,
    lösche mal deine ganzen Temporäre Dateien/Webcache:

    Firefox:

    Extras->Private Daten löschen->Überall ein Haken->Private Daten löschen bzw. OK
    Bild
    {img-src: http://www1.ku-eichstaett.de/urz/inkuerze/2_06/firefox7.gif}


    Internet Explorer 7:

    Extras->Internetoptionen->Löschen->Alle Löschen
    {bild-down: http://www.skat-online.com/jwstprob4.jpg}


    Internet Explorer 6:

    Extras->Internetoptionen->Dateien löschen
    {bild-down: http://de.gwars-wiki.info/images/b/b3/Browsercache_loeschen_ie6_1.gif}



    Wenn du Firefox benutzt, dann bitte auch Internet Explorer Cache löschen!!


    Viel Glück!

    Grüße
    Kirill
     
  9. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    das erste was zu machen ist:
    Spybot drüber
    Virenscanner
    HiJack

    danach im Abgesicherten Modus starten, dort den Trojaner löschen.
    dann gibts programme die deine REG überwachen, wo einträge gemacht werden können die programme starten beim windows start.......besorg dir das mal

    für die zukunft:
    Trojancheck beorgen, spybot, gescheiten AV, updates immer aktuell halten usw
     
  10. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    nur mal ein genereller tipp.
    n trjaner is meisten nur auf der partition auf der windows ist.
    wenn du jetzt ne c: partition hast auf der nur windows ist, kannst du n paar wichtige dateien saven und kannst dann c formatieren und windows neu draufspielen. danach is bei mir alles vieren und trojaner frei.
    Programme und Games funktionieren teilweise noch, bei anderen musst du die fehlenden dlls runterladen und in den system 32 ordner stecken.

    Aber so wies aussieht hast du einfach alles auf c gepackt...
     
  11. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    Hey...

    also lad dir mal n Antivirus proggie wurden ja schon einige genannt...

    dann machstn reboot in den Abgesicherten Modus (warum? ganz einfach, weil viele dienste, vorallendingen die Netzwerkdienste nicht mitgestartet werden),

    dann lässte mal komplett n scan laufen, und löscht die infizierten Dateien, meistens wirkt das wunder...

    naja...hab ich früher immer so gemacht, seitdem ich dowipe entdeckt habe..jede 4 Wochen format c: und windows neu druff xD

    so long
    pampers
     
  12. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    Hi

    Denn habe ich auch schon gehabt. Er kam bei mir auch immer wieder.
    Da er aus mehreren Dateien besteht,ist er schlecht zu löschen.
    Habe in aber wegbekommen. Der Hauptteil sitzt im System Volume Information Ordner.
    Zuerst siehst Du denn Ordner nicht und denn Inhalt kannst Du nicht löschen.

    Standort ist.

    C:\ Extra / Ordneroptionen / Ansicht

    Dann Häckchen bei
    Geschützte Systemdateien ausblenden (empfohlen)
    Alle Dateien und Ordner anzeigen ändern.


    Denn System Volume Information Ordner kannst Du dann mit diesem Befehl öffnen.


    per Eingabeaufforderung

    cacls "c:\System Volume Information" /E /G BENUTZERNAME:F

    BENUTZERNAME = Der Name des momentan Angemeldeten Users

    Danach hast Du Zugriff auf den Ordner.

    Ich habe damals denn gesamten Inhalt gelöscht und gut war`s. Hatte nie wieder Probleme damit.



    !!! Alle Angaben ohne Gewähr !!!
     
  13. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    warum Format:C???

    gibt doch genügend Proggies, die das beheben
     
  14. 30. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    Geh in den Abgesicherten Modus und mach da nochmal nen Virenscan.
    Allerdings würd ich dir bei nem Trojaner immer format C: empfehlen .

    Da hasse wieder nen flottes System und vorallem Trojanerfrei.
     
  15. 31. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    Weil es nicht immer sicher ist, das er vollständig erkannt bzw. entfernt wird.
     
  16. 31. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    C:\WINDOWS\system\CmSNXeye.exe

    was ist das? deine webcam?
     
  17. 31. Juli 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Scheiss Trojaner der immer wieder kommt

    als ich mein PC gerade angemacht hab kam genau das gleiche bei mir aber naja löschen konnte ich es bis jetzt vll kommts ja nachher wieder^^
    und ich hab kaspersky
     
  18. 31. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    vor 2 jahren habe ich auch antivir benutzt und hatte das gleiche problem. glaub mir es liegt am programm es ist einfach zu schlecht. hol dir wie ich damals kaspersky egal welche version und lass mal dein system komplett checken. wenn du weiterhin das problem hast kannst du nochmal schreiben und wir schauen hier weiter...

    soviel von mir
     
  19. 31. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    ich würde auf jedenfall die SYSTEMWIEDERHERSTELLUNG auf allen laufwerken deaktiveren, denn der trojaner kann sich damit regelmäsig nach jedem neustart wiederherstellen...
     
  20. 31. Juli 2008
    AW: Scheiss Trojaner der immer wieder kommt

    sowas geht auch? ist das ne schweinerei -.-
    also, wenn ich dann die systemwiederherstellung deaktiviere und den virus demnächst dann lösch... kommt er dann vllt nich wieder? ^^


    keine ahnung was das ist ^^
     
  21. 31. Juli 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Scheiss Trojaner der immer wieder kommt

    Naja ich hab mal gegoogled und die meinten diese blablaeye.exe sei ein treiber.
    CmSNXeye.exe Windows process - What is it?

    Du weißt den namen vom Virus. Antivir kann es nicht löschen, also wird die Datei benutzt. Geh mal im abgesicherten Modus und such nach der Datei. Versuch es dann Manuell zu löschen bzw. mit Unlocker.
     
  22. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.