Trojanische Pferd TR/Drop.Avar.2

Hallo allerseits

Seit gestern hat mein PC einen trojanisches Pferd eingefangen. Und zwar den Trojanische Pferd TR/Drop.Avar.2. Im Netz habe ich kaum was darüber gefunden. Nun zu meinen Problem.
Im Moment habe ich AntiVir installiert. Bei jeden Start von Windows kommt die folgende Meldung von AntiVir

C:\WINDOWS\SYSTEM32\HPA160.TMP

Ist das Trojanische Pferd TR/Drop.Avar.2


Beim Scannen wird die Datei gelock und die Meldung, dass ich den Computer neustarten soll, damit die Datei gelöscht wird. Nach dem Neustart erscheint aber wieder dieselbe Meldung. Doch die Dateiname mit dem trojanische Pferd ändert sich jedesmal mit dem Neustart. Und zwar so.

hp****.TMP 

Die Zeichen an Stelle der Sternchen wechseln sich andauernd.

Zusätzlich erscheint im Windows unten rechts ein Ikon mit der Medung.

Your Computer is infected
Windows has detected spyware infection

It is recommended to use special antispyware tools to prevent data loss.
Windows will now download and install the most up-to-date antispyware for you.

Click here to protect your computer from spyware.


Ich weiss jetzt nicht, ob diese Meldung etwas mit dem Wurm zu tun hat. Denn jetzt wird von Spyware gesprochen. Habe auf diese Meldung geklickt und wurde zu eine website von der Software SpyAxe weitergleitet. Habe mir daraufhina auch SpyAxe 3.0 runtergedatet. Leider muss ich die Software kaufen um zu benutzen.

Da ich nun vermute das es um spyware handelt, habe ich Ad Aware installiert un den PC gescannt. Nach dem scannen und cleanen, bleibe das Problem immer noch. Die Meldung oben erscheint immer noch und andauernd. Das nerv total.

Ich hoffe, daß ihr mich verstanden haben und mir helfen kann.

Viele Grüsse

Hi

Hol dir mal AVG Free von Grisoft.

Und Adaware, neuste Version.

Die Fehlermeldung in der Taskleiste kommt von dem Prozess tool2.exe oder so. Schau mal im Taskmanager ob da so ein Prozess ist und kick ihn raus.

Dann schau auf die Windows-Partition. Da müsste direkt (Bei mir unter C:\) eine Datei secure32.html liegen.

Wenn du soweit bist, meld dich nochmal

Hallo

Vielen Dank für die rasche Antwort. Werde es ausprobieren. Leider bin ich nicht zu Hause sondern an der Hochschule. Kann somit erst heute abend ausprobieren. Melde mich aber auf jeden Fall wenn ich es ausprobiert habe.

Viele Grüsse

Ach ja was muss ich dann machen wenn auf der Windows Partion die Datei secure32.html vorhanden ist?

Be schrieb:

Habe mir daraufhina auch SpyAxe 3.0 runtergedatet.

Zum Vergrößern anklicken....

Hm ja, genau das wollten die ja auch. Damit haste deinen PC dann erst recht verseucht. :-\
Mit viel Glück hat Adaware das bereits erkannt und im Ansatz gebannt, sieht aber nicht wirklich danach aus, wenn die Meldung immer noch da ist.

Bitte besorg dir mal HijackThis und scanne deinen PC damit. Das Logfile kannst du entweder hier im Forum posten oder automatisch auf www.hijackthis.de auswerten lassen.

Kannst ja auch mal Stinger oder sowas laufen lassen oder einen Onlinevirenscan machen.

Hallo DH_Insane

Ich habe mir AVG Free runtergeladet und den PC gescannt. Ich muss sagen diese Software ist schlechter als AntiVir. AVG Free erkennt nicht mal den Trojaner.

Im Taskmanager habe ich kein Prozess tool2.exe gefunden. Hier die Prozesse

explorer.exe
alg.exe
TscHelp.exe
svchost.exe
nvsvc32.exe
Navapsvc.exe
mdm.exe
DVDRAMSV.exe
wuauclt.exe
SnagIT32.exe
ccEvtMgr.exe
spoolsc.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
taskmgr.exe
svchost.exe
lscass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
ctfmon.exe
nvctrl.exe
wscntfy.exe
System
Leerlaufprozess

Weiterhin habe ich Norton 2003 Probevrsion runtergeladen und mit dem neuesten Update installiert. Norton hat die Datei hp****.tmp auch als verseucht erkannt. DOch anstatt den Trojaner TR/Drop.Avar.2 zeigt er den TrojanStartPage an.

Mit Killbox habe ich zunächst versucht die Datei hp****.tmp zu löschen. Doch bei jeden Neustart kommt die Datei wieder. Auch die Meldung in der Taskleiste ist immer noch da und kommt immer wieder (nerv richtig).

Mc Afee Stingerhabe ich auch probiert. Findet nichts. Gestern abend so gegen 0 Uhr habe ich dann aufgegeben. Heute morgen kamm die Überraschung. Die Datei hp****.tmp ist weg. Doch die Meldung unten rechts in der Taskleiste bleibt.

Die Logfile mit HijackThis heute morgen sieht folgendermassen aus.

Logfile of HijackThis v1.99.1
Scan saved at 07:37:31, on 17.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\system32\hp48C1.tmp (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_cracks.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe



Nun. Wenn es anders nicht geht diese blöde Meldung in der Taskleiste wegzukriegen, werde ich wohl die Festplatte formatieren und Windows neu installieren.

Viele Grüsse

Ach ich vergass

Der Eintrag

O2 - BHO: HomepageBHO - {7288c0bd-7f2f-4229-a0c4-3c90a6e2a881} - C:\WINDOWS\system32\hp48C1.tmp (file missing)

in der Logfile, glaube ich ist mein problem

nein, dein Problem liegt wo anders.

Hier ist die Auswertung deines Logfiles: http://www.hijackthis.de/logfiles/44348e1f814172aae91bfec88d4999c1.html

Du müsstest noch irgendwo die nvctrl.exe auf dem System haben.... unbedingt löschen
Ausserdem ist dieser Eintrag ein Dialer: O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

und diesen Eintrag solltest du unbedingt fixen und die zugehörigen Dateien löschen:

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_cracks.cab

Hallo Dakota

Vielen Dank für die Antwort. Werd heute abend ausprobieren.

Poste dann wie es gelaufen ist.

Viele Grüsse

Be schrieb:

Hier die Prozesse

explorer.exe
alg.exe
TscHelp.exe
svchost.exe
nvsvc32.exe
Navapsvc.exe
mdm.exe
DVDRAMSV.exe
wuauclt.exe
SnagIT32.exe
ccEvtMgr.exe
spoolsc.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
taskmgr.exe
svchost.exe
lscass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
ctfmon.exe
nvctrl.exe
wscntfy.exe
System
Leerlaufprozess

Zum Vergrößern anklicken....

und die rot markierten Schädlinge erst im Taskmanager beenden.

pan_fee

Hallo PCDpan_fee

Was meinst du mit, dass ich die rot markierte Schädlinge erst beenden soll. Was soll ich machen nachdem ich diese Einträge im Taskmanager beende habe.

Viele Grüsse

Tastenkombination [STRG] + [ALT] + [Entf] (kurz zusammen drücken) ausführen, unter Prozesse die beiden exe-Dateien (die im system32-Verzeichnis liegen) markieren und Button Prozess beenden anklicken, sonst lassen sie sich nicht löschen.

PCDpan_fee schrieb:

lscass.exe

nvctrl.exe

Zum Vergrößern anklicken....

Am besten im abgesicherten Modus die beiden exe-Dateien löschen.

pan_fee

und falls das dann die nächste Frage ist , abgesicherter Modus:

beim Booten F8 Taste drücken und dann den Modus auswählen
Viel Erfolg

Gruss Dakota

Hallo allerseits

Ich wollte mich zunächst bei euch allen für eure Hilfe danken. Ich alles ausprobiert, was ihr mir so geschrieben haben. Doch leider ist diese blöde Meldung unten rechts immer noch da. Da es mich richtig nerv, habe ich beschlossen die Festplatte zu formatieren und alles neu zu installieren.

Läuft jetzt wieder normal. Zur Vorbeuge vor solchen Infektionen.
Was soll ich zur Sicherheit im Internet alles machen? Im Moment habe ich Norton 2002 drauf. Zusätzlich ZoneAlarm als Firewall. reicht das? Oder soll ich noch was installieren, damit ich ausreichenden Schutz habe.

Viele Grüsse

Ich habe das gleiche Problem - und deswegen etliche Foren durchgesucht.
Doch kein einziger Tip hat bei mir geholfen.

Meine Firewall (ZoneAlarm) meldet öfters, seitdem ich diese blöde Meldung unten stehen habe, daß explorer.exe und winlogon.exe auf das Intenet zugreifen wollen.
Ich schätze, daß sich der Virus (oder was auch immer das ist) in diese Dateien lädt und somit geschützt ist.

Hi!

Hatte das gleiche nervige Problem! Hab einfach mal wie schon erwähnt das ganze geHiJacked und gefixt und wirklich mal alles was ich nicht einordnen konnte rausgeschmissen. Ich hatte eine Datei wininstall.exe auf der Festplatte, die ich nun Löschen konnte und die ich für schuldig erklärt hatte... noch keine Merkbare Besserung.

Letztendlich bemerkte ich eine mir unbekannte Cram Toolbar das hatte ich vorher zwischen zwei anderen, nützlichen Toolbars wohl überlesen. Mit der Sotfware-Entfernfunktion von XP konnte ich es nicht löschen. Dann ist der Ordner eben manuell in den Papierkorb geflogen. Und nun bin ich seit etlichen Systemstarts befreit von dem fiesen Popup-Fenster!!

Ich hoffe das die Info auch euch hilft!!

tach,
hab das gleiche problem gehabt und es beseitigt
aba jetzt hab ich das problem das mein desktop
ein hintergrundbild von SPYWARE INFECTION und wollte fragen wie ich das weg krieg weil das mit der normalen methode nicht weggeht

darkevil124 schrieb:

tach,
hab das gleiche problem gehabt und es beseitigt
aba jetzt hab ich das problem das mein desktop
ein hintergrundbild von SPYWARE INFECTION und wollte fragen wie ich das weg krieg weil das mit der normalen methode nicht weggeht

Zum Vergrößern anklicken....

Hatte heute das gleiche Problem am Rechner eines Bekannten. Fehlt bei dir auch der Button Anzeige in der Systemsteuerung? Bei mir funktioniert auch die rechte Maustaste auf dem Desktop nicht mehr.

Hier noch das Hintergrundbild.