AntiVir meldet Trojaner.

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Battle Hunter, 11.02.2008.

  1. #1 Battle Hunter, 11.02.2008
    Battle Hunter

    Battle Hunter Erfahrener Benutzer

    Dabei seit:
    20.12.2007
    Beiträge:
    386
    Zustimmungen:
    0
    Mein AntiVir meldet die ganze Zeit einen Trojaner, wenn ich im Web surfe.
    es kam das erste mal, aber da war es kein Trojaner sondern was mit DR/
    am anfang. Jetzt heisst es TR/Drop.Zlob.338199.

    Es ist in C:\Users\Emre\AppData\Local\Temp, zuerst war es die datei:
    BIT7557.tmp, dann BIT89DA.tmp und schlussendlich BIT2251.tmp.

    Ich hab alle in die Quarantäne gesteckt, was soll ich machen, wieso
    kommt der immer und was ist das überhaupt?
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 11.02.2008
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Mit welchem Browser surfst du ? lösch erstmal deine Cookies.

    Lade dir den CCleaner und geh auf "Cleaner" dort klickst du alles an und löscht was er findet. Dann gehst du auf "Registry" und löscht verwaiste Registryeinträge.

    http://ccleaner.softonic.de/

    Sollte der Schädling dadurch immernoch nicht behoben sein poste uns bitte noch ein Hijackthislogfile ins Forum.
     
  4. #3 Battle Hunter, 11.02.2008
    Battle Hunter

    Battle Hunter Erfahrener Benutzer

    Dabei seit:
    20.12.2007
    Beiträge:
    386
    Zustimmungen:
    0
    Ich surfe mit Opera (auch wenn du das weisst:D)
    Ok, das mach ich mal, dann poste ich noch ein Hijackthislogfile,
    der Virus kommt eben unregelmässig.

    e/Soll ich diese aus der Quarantäne löschen?
     
  5. #4 ReinMan, 11.02.2008
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Nein lasse in erstmal in der Quarantäne man weiß ja nie um was es sich genau handelt. Eventuell möchte man später eine Diagnose führen und ihn sich genauer angucken. Wenn du das alles durchgeführt hast und er sich nicht mehr meldet dann löscht du ihn erst.

    Doch davor befolge meine Tipps mit dem CCleaner "Registry" und "Cleaner" löscht du alles was er findet und postest ein Logfile.
     
  6. #5 Battle Hunter, 11.02.2008
    Battle Hunter

    Battle Hunter Erfahrener Benutzer

    Dabei seit:
    20.12.2007
    Beiträge:
    386
    Zustimmungen:
    0
    Also ich hab die Tempfiles gelöscht, es waren komischerweise 4236,7MB.
    Auch wenn ich jeden zweiten bis dritten Tag die Temps lösche.

    Hijackthislogfile:
    Logfile of HijackThis v1.99.1
    Scan saved at 21:10:11, on 11.02.2008
    Platform: Unknown Windows (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16575)

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    E:\Programme\ATI Radeon HD2600 XT\ATI.ACE\Core-Static\MOM.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    E:\Programme\ATI Radeon HD2600 XT\ATI.ACE\Core-Static\CCC.exe
    E:\Programme\Opera Browser\Opera.exe
    E:\Programme\ICQ6\ICQ.exe
    C:\Windows\system32\taskeng.exe
    E:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\Users\Emre\AppData\Local\Temp\Temp1_hijackthis_199.zip\HijackThis.exe
    E:\Eigene Dateien\Downloads\hijackthis_199\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
    O1 - Hosts: ::1 localhost
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [StartCCC] "E:\Programme\ATI Radeon HD2600 XT\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "C:\Windows\TEMP\E_S38A5.tmp" /EF "HKLM"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O13 - Gopher Prefix:
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{88D470C0-A890-407F-A3FD-82AC7146F3D4}: NameServer = 192.168.11.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
    O21 - SSODL: bdmnopx - {9340AB28-8BCB-4B7A-A1EB-994D2CAC4DF7} - C:\Windows\bdmnopx.dll
    O21 - SSODL: admggxp - {84EB65A1-9E39-4EAC-9FA2-2A249E5AE853} - C:\Windows\admggxp.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - E:\Programme\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

    Es sind nicht alle Prozesse Autostart.

    @ReinMan
    ZoneAlarm ist nach deinem Tipp weg, hatte es eh schon vor, das wieder
    zu deinstallieren, nachdem mein neuer Router kommt.
     
  7. #6 Battle Hunter, 11.02.2008
    Battle Hunter

    Battle Hunter Erfahrener Benutzer

    Dabei seit:
    20.12.2007
    Beiträge:
    386
    Zustimmungen:
    0
    sry, mein Browser spinnt auch ein wenig.
     
  8. #7 ReinMan, 12.02.2008
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

    O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

    O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)

    Die markierst du und gehst auf "Fix check".

    Unbekannt
    O21 - SSODL: admggxp - {84EB65A1-9E39-4EAC-9FA2-2A249E5AE853} - C:\Windows\admggxp.dll

    Unbekannt
    O21 - SSODL: bdmnopx - {9340AB28-8BCB-4B7A-A1EB-994D2CAC4DF7} - C:\Windows\bdmnopx.dll

    Die beiden werden als unbekannt eingestuft. Suche die DLL´s und lade sie bei www.virustotal.com hoch und lasse sie auswerten.

    Taucht denn das Problem weiterhin auf ? hast du das schon mit dem CCleaner versucht wie ich es oben beschrieben habe ?
     
  9. #8 Battle Hunter, 12.02.2008
    Battle Hunter

    Battle Hunter Erfahrener Benutzer

    Dabei seit:
    20.12.2007
    Beiträge:
    386
    Zustimmungen:
    0
    Ja, ich habe mit CCleaner, wie schon gesagt, 4236,7MB entfernt.

    e/admggxp.dll ist von 5 Scannern als Adware/Virus erkannt worden.

    http://www.virustotal.com/analisis/29d6df78b82046a119a08be50210fdee

    Der andere ist von 8 Scannern als Adware/Trojaner/Spyware erkennt worden.

    http://www.virustotal.com/analisis/09e1bc90e16fad597ac319244b0bc6f2

    e²/Ich kann den Taskmanager seit gestern nicht mehr starten,
    das Update für AntiVir kommt auch nicht.

    Und manchmal steht ich hätte keine Internetverbindung, aber alle Programme
    die mit dem Internet verbunden sind gehen. Was ist da los?

    Was soll ich mit den beiden daten machen?
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Humdinger, 12.02.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Alle Dateien anzeigen
    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
    "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
    ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
    aktivieren -> "OK"

    Boote nun in den abgesicherten Modus (bei Neustart F8 drücken)

    Lösche die beiden direkt im abgesicherten Modus:

    C:\Windows\admggxp.dll
    C:\Windows\bdmnopx.dll

    PC Neustart

    AVG ANTISPYWARE ausführen und alle Funde auch löschen.
    Report posten

    Kaspersky - Virus Removal Tool anwenden. Alle Funde löschen. Report posten

    Neuen HijackThis log posten.
     
  12. #10 Battle Hunter, 12.02.2008
    Battle Hunter

    Battle Hunter Erfahrener Benutzer

    Dabei seit:
    20.12.2007
    Beiträge:
    386
    Zustimmungen:
    0
    Man sieht die Daten schon, ich glaube nicht dass das echte Systemdaten sind.

    Ok, das mache ich mal, aber ich scanne dann lieber mit Spybot Search&Destroy
    und Avira AntiVir.
     
Thema:

AntiVir meldet Trojaner.

Die Seite wird geladen...

AntiVir meldet Trojaner. - Ähnliche Themen

  1. Avira AntiVir Tray Symbol

    Avira AntiVir Tray Symbol: Hey Leute, Nachdem kein Avira Schirmchen mehr in der Taskleiste angezeigt wurde, habe ich es neu installiert. Selbes Resultat wie zuvor, kein...
  2. Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?

    Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?: Hi, kann ein Trojaner die Neuinstallation von Windows 7 überleben wenn man den Windows.old-Ordner behalten hat? mfg
  3. Avira Antivir Problem

    Avira Antivir Problem: Hallo und frohe Weihnachten! Avira Antivir Problem: "Bei dem Versuch das Internet Update zu starten ist folgender Fehler aufgetreten Der...
  4. Spiel Installation - Meldung Trojanisches Pferd

    Spiel Installation - Meldung Trojanisches Pferd: Hallo liebe Community, ich habe mir vor 2 Tagen das Spiel Mafia II von Green Pepper gekauft (neu, 6,99, nicht directors cut). Habe es bereits...
  5. PC meldet Festplatte als Defekt, Daten sind aber noch da???

    PC meldet Festplatte als Defekt, Daten sind aber noch da???: Hallo zusammen, ich hab ein ziemliches Problem. Und zwar hat mein PC mir beim starten gerade angeizeigt, dass gerade ein Festplattenproblem...