Hi, ich habe ein Problem mit den im Titel genannten Trojanern. AntiVir zeigt mir nach einiger Zeit immer an, dass einer der beiden gefunden wurde und zwar unter dem Verzeichnis C:\System Volume Information\_restore{C021F2D6-E59B-4D16-84A1-AF707A7F9D5D}\RP41\A0004593.exe . Anscheinend kann Antivir diese Trojaner nicht richtig löschen, denn nach einiger Zeit kommt wieder eine Meldung mit einem Fund und ich glaube die .exe-Datei ändert sich immer das weiß ich aber nicht so genau.

Ich habe mal eine hijackthis-logfile erstellen lassen und hoffe ihr könnt mir helfen. Im Internet finde ich nämlich nichts zu den Trojanern anscheinend hatte vorher noch keiner ein Problem damit gehabt.

Logfile of HijackThis v1.99.1
Scan saved at 18:41:46, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Synaptics\SynTP\SynTPLpr.exe
D:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\ALCFDRTM.EXE
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Real\RealPlayer\realplay.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
D:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] D:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [\\Benjamin\EPSON Stylus DX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P37 "\\Benjamin\EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus DX4200 Series auf Benjamin] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P51 "Automatisch EPSON Stylus DX4200 Series auf Benjamin" /O16 "\\BENJAMIN\EPSON" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\World of Warcraft\BLASC\BLASC.exe"
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe es kann mir jemand weiterhelfen, wie man diese Plagegeister endgültig beseitigen kann. Kann es durch diese Trojaner auch sein, dass ich deswegen in letzter Zeit öfters E-Mails bekomme, bei denen die Adresse unbekannt war und deshalb wieder zurückgeschickt wurden?

Zitat:

AntiVir zeigt mir nach einiger Zeit immer an, dass einer der beiden gefunden wurde und zwar unter dem Verzeichnis
C:\System Volume Information\_restore{C021F2D6-E59B-4D16-84A1-AF707A7F9D5D}\RP41\A0004593.exe

Das ist der Ordner für die Systemwiederherstellung. Deaktiviere die, hier eine Anleitug dazu.

Zitat:

D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA EE.EXE

Lass diese Datei mal bitte bei Kasperskyauswerten und poste das Ergebnis.

Das hier spuckt der mir dann aus:

You're clean!

Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.

However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today.

Systemwiederherstellung ist deaktiviert?
Mach mal einen Check mit escan, gemäß dieser Anleitung. Poste das "gefilterte" Log.

Oops, hatte das vorher noch nicht deaktiviert. Aber obwohl die jetzt deaktiviert ist, zeigt die mir das gleiche an. Muss ich das vielleicht im abgesicherten Modus machen?

Kann mir denn sonst keiner weiterhelfen?

Hi Bunninho,

bin absolut kein Experte, auch
Neuling, hatte aber das mit dem
System Volume.... genauso,
schau mal in den Threat: wie fackelt man den ab,

und mach mal das, was CAD mir am Schluß
empfohlen hat, mit Systemwiederherstellung
und Bereinigung, das könnt funzen!!

LG----Grec

Zitat:

Zitat von Bunninho

Kann mir denn sonst keiner weiterhelfen?

Mach erstmal das was man Dir sagt, also mit eScan den PC scannen...alternativ auch hiermit. Öffne die Seite mit dem Internet Explorer und und klick dort auf Kaspersky Online Scanner. Warte dann ab, bis die Signaturen aktualisierst sind, danach auf Next klicken als Scanbereich am besten "My Computer" auswählen. Poste die Scanergebnisse.

Hmm. Ich habe jetzt mal mit e-Scan mein System gescannt und der hat 3 Viren gefunden. Die log-Datei ist mehrere Seiten lang. Muss ich die jetzt komplett im Forum posten? Oder gibt es da noch ne Kurz-Version mit den gefundenen Viren?

Hallo,

hatte genau diesen Effekt bei Kunden-PC.

DrWeb hat alles gefunden und entfernt.

Falls das Problem noch besteht - hier ist die freie Version dafuer:

http://www.drweb-online.com/de/cure_it.asp

Nach dem Neustart danach nochmal scannen zum Ueberpruefen.

Micha

Zitat:

Zitat von Bunninho

Hmm. Ich habe jetzt mal mit e-Scan mein System gescannt und der hat 3 Viren gefunden. Die log-Datei ist mehrere Seiten lang. Muss ich die jetzt komplett im Forum posten? Oder gibt es da noch ne Kurz-Version mit den gefundenen Viren?

Nun lies die Anleitung dochmal genau, ganz unten unter Punkt [5]. Also nur relevante Einträge aus der Logdatei posten.

Hallo,
verstehe ich die Behauptung richtig, das DrWeb Trojaner aus der Systemwiederherstellung löschen kann?
Arbeitest du für DrWeb oder machst du gratis Werbung?


Grüße Wildone

Das Motiv sollte klar sein, wenn man den Link postet und auch noch "drweb-online" als Nick hat!

So, das hier steht in der Virus Protokoll Information:

Object "smartadware Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\DOKUME~1\Benjamin\LOKALE~1\Temp\mshtml2.exe markiert als "not-a-virus:AdWare.Win32.MediaTickets.r". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Alles weitere such ich jetzt mal in der log-Datei

So das hier steht in der log-Datei:

Sun Apr 23 15:14:48 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD

Sun Apr 23 15:14:48 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sun Apr 23 15:14:48 2006 => Loading Spyware Signatures from new External Database (Size: 154889).
Sun Apr 23 15:14:51 2006 => Indexed Spyware Databases Successfully Created...

Sun Apr 23 15:14:59 2006 => Offending file found: D:\WINDOWS\run.ini
Sun Apr 23 15:14:59 2006 => System found infected with smartadware Spyware/Adware (run.ini)! Action taken: Keine Aktion vorgenommen.


UND:

Sun Apr 23 15:16:34 2006 => Scanne Datei D:\DOKUME~1\Benjamin\LOKALE~1\Temp\mshtml2.exe
Sun Apr 23 15:16:34 2006 => File D:\DOKUME~1\Benjamin\LOKALE~1\Temp\mshtml2.exe markiert als "not-a-virus:AdWare.Win32.MediaTickets.r". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Was soll ich jetzt mit den Dateien machen? Mit Kaspersky Online überprüfen?