Trojanische Pferd TR/Drop.Avar.2

Dieses Thema Trojanische Pferd TR/Drop.Avar.2 im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Be, 16. Nov. 2005.

Thema: Trojanische Pferd TR/Drop.Avar.2 Hallo allerseits Seit gestern hat mein PC einen trojanisches Pferd eingefangen. Und zwar den Trojanische Pferd...

  1. Be
    Be
    Hallo allerseits

    Seit gestern hat mein PC einen trojanisches Pferd eingefangen. Und zwar den Trojanische Pferd TR/Drop.Avar.2. Im Netz habe ich kaum was darüber gefunden. Nun zu meinen Problem.
    Im Moment habe ich AntiVir installiert. Bei jeden Start von Windows kommt die folgende Meldung von AntiVir

    C:\WINDOWS\SYSTEM32\HPA160.TMP

    Ist das Trojanische Pferd TR/Drop.Avar.2


    Beim Scannen wird die Datei gelock und die Meldung, dass ich den Computer neustarten soll, damit die Datei gelöscht wird. Nach dem Neustart erscheint aber wieder dieselbe Meldung. Doch die Dateiname mit dem trojanische Pferd ändert sich jedesmal mit dem Neustart. Und zwar so.

    hp****.TMP 

    Die Zeichen an Stelle der Sternchen wechseln sich andauernd.

    Zusätzlich erscheint im Windows unten rechts ein Ikon mit der Medung.

    Your Computer is infected
    Windows has detected spyware infection

    It is recommended to use special antispyware tools to prevent data loss.
    Windows will now download and install the most up-to-date antispyware for you.

    Click here to protect your computer from spyware.


    Ich weiss jetzt nicht, ob diese Meldung etwas mit dem Wurm zu tun hat. Denn jetzt wird von Spyware gesprochen. Habe auf diese Meldung geklickt und wurde zu eine website von der Software SpyAxe weitergleitet. Habe mir daraufhina auch SpyAxe 3.0 runtergedatet. Leider muss ich die Software kaufen um zu benutzen.

    Da ich nun vermute das es um spyware handelt, habe ich Ad Aware installiert un den PC gescannt. Nach dem scannen und cleanen, bleibe das Problem immer noch. Die Meldung oben erscheint immer noch und andauernd. Das nerv total.

    Ich hoffe, daß ihr mich verstanden haben und mir helfen kann.

    Viele Grüsse
     
  2. Hi

    Hol dir mal AVG Free von Grisoft.

    Und Adaware, neuste Version.

    Die Fehlermeldung in der Taskleiste kommt von dem Prozess tool2.exe oder so. Schau mal im Taskmanager ob da so ein Prozess ist und kick ihn raus.

    Dann schau auf die Windows-Partition. Da müsste direkt (Bei mir unter C:\) eine Datei secure32.html liegen.

    Wenn du soweit bist, meld dich nochmal :)
     
  3. Be
    Be
    Hallo

    Vielen Dank für die rasche Antwort. Werde es ausprobieren. Leider bin ich nicht zu Hause sondern an der Hochschule. Kann somit erst heute abend ausprobieren. Melde mich aber auf jeden Fall wenn ich es ausprobiert habe.

    Viele Grüsse
     
  4. Be
    Be
    Ach ja was muss ich dann machen wenn auf der Windows Partion die Datei secure32.html vorhanden ist?
     
  5. Hm ja, genau das wollten die ja auch. Damit haste deinen PC dann erst recht verseucht. :-\
    Mit viel Glück hat Adaware das bereits erkannt und im Ansatz gebannt, sieht aber nicht wirklich danach aus, wenn die Meldung immer noch da ist.

    Bitte besorg dir mal HijackThis und scanne deinen PC damit. Das Logfile kannst du entweder hier im Forum posten oder automatisch auf www.hijackthis.de auswerten lassen.

    Kannst ja auch mal Stinger oder sowas laufen lassen oder einen Onlinevirenscan machen.
     
  6. Be
    Be
    Hallo DH_Insane

    Ich habe mir AVG Free runtergeladet und den PC gescannt. Ich muss sagen diese Software ist schlechter als AntiVir. AVG Free erkennt nicht mal den Trojaner.

    Im Taskmanager habe ich kein Prozess tool2.exe gefunden. Hier die Prozesse

    explorer.exe
    alg.exe
    TscHelp.exe
    svchost.exe
    nvsvc32.exe
    Navapsvc.exe
    mdm.exe
    DVDRAMSV.exe
    wuauclt.exe
    SnagIT32.exe
    ccEvtMgr.exe
    spoolsc.exe
    svchost.exe
    svchost.exe
    svchost.exe
    svchost.exe
    taskmgr.exe
    svchost.exe
    lscass.exe
    services.exe
    winlogon.exe
    csrss.exe
    smss.exe
    ctfmon.exe
    nvctrl.exe
    wscntfy.exe
    System
    Leerlaufprozess

    Weiterhin habe ich Norton 2003 Probevrsion runtergeladen und mit dem neuesten Update installiert. Norton hat die Datei hp****.tmp auch als verseucht erkannt. DOch anstatt den Trojaner TR/Drop.Avar.2 zeigt er den TrojanStartPage an.

    Mit Killbox habe ich zunächst versucht die Datei hp****.tmp zu löschen. Doch bei jeden Neustart kommt die Datei wieder. Auch die Meldung in der Taskleiste ist immer noch da und kommt immer wieder (nerv richtig).

    Mc Afee Stingerhabe ich auch probiert. Findet nichts. Gestern abend so gegen 0 Uhr habe ich dann aufgegeben. Heute morgen kamm die Überraschung. Die Datei hp****.tmp ist weg. Doch die Meldung unten rechts in der Taskleiste bleibt.

    Die Logfile mit HijackThis heute morgen sieht folgendermassen aus.

    Logfile of HijackThis v1.99.1
    Scan saved at 07:37:31, on 17.11.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\DVDRAMSV.exe
    c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\nvctrl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
    O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\system32\hp48C1.tmp (file missing)
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_cracks.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
    O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



    Nun. Wenn es anders nicht geht diese blöde Meldung in der Taskleiste wegzukriegen, werde ich wohl die Festplatte formatieren und Windows neu installieren.

    Viele Grüsse
     
  7. Be
    Be
    Ach ich vergass

    Der Eintrag

    O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\system32\hp48C1.tmp (file missing)

    in der Logfile, glaube ich ist mein problem
     
  8. nein, dein Problem liegt wo anders.

    Hier ist die Auswertung deines Logfiles: http://www.hijackthis.de/logfiles/44348e1f814172aae91bfec88d4999c1.html

    Du müsstest noch irgendwo die nvctrl.exe auf dem System haben.... unbedingt löschen
    Ausserdem ist dieser Eintrag ein Dialer: O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

    und diesen Eintrag solltest du unbedingt fixen und die zugehörigen Dateien löschen:

    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_cracks.cab
     
  9. Be
    Be
    Hallo Dakota

    Vielen Dank für die Antwort. Werd heute abend ausprobieren.

    Poste dann wie es gelaufen ist.

    Viele Grüsse
     
  10. und die rot markierten Schädlinge erst im Taskmanager beenden.

    pan_fee
     
Die Seite wird geladen...

Trojanische Pferd TR/Drop.Avar.2 - Ähnliche Themen

Forum Datum
Trojanisches Pferd? Windows XP Forum 5. Jan. 2006
Trojanisches Pferd Windows XP Forum 6. Sep. 2005
Immer wieder Trojanische Pferd TR/Spy.Agent.dg.2.B Viren, Trojaner, Spyware etc. 29. Juli 2005
Trojanische Pferd TR/Spy.Agent.dg.2.B Viren, Trojaner, Spyware etc. 28. Juli 2005
Trojanisches Pferd. TR/Spy.Bacos.aht.2 Viren, Trojaner, Spyware etc. 6. Juli 2005