Home » Viren, Trojaner & Malware Forum » Trojaner nach Formatierung ?! » Themenansicht

Trojaner nach Formatierung ?!
#0
01.03.2012, 17:13
Timotime
Member

Beiträge: 15
#1 Halli Hallo,

folgendes ist passiert. Mein Windows 7 Rechner schlug mir ein Update für Adobe vor. Update hab ich vorgenommen und dann festgestellt (Antivir), dass es sich leider um einen Trojaner handelt.

Also habe ich den kompletten Rechner formatiertn (jetzt sogar schon zum dritten mal). Nach dem formatieren habe ich lediglich Antivir installiert. Antivir findet, bei dem frisch installierten System, jedoch direkt wieder einen Virus:

"C:/Windows/Setup/Scripts/odin.exe" ist ein Virus/unerwünschtes Programm "TR/Drop.Agent.CE.10".

Soooooo....wie gesagt...ich habe danach schon 2mal wiede formatiert...immer das selbe.

Eine weitere Sache ist merkwürdig. Ich habe lediglich Antivir installiert, sonst nicht. Trotzdem erscheint nach einer Weile eine Meldung, dass ich Adobe installieren kann/soll. Es ist diese typische Windows 7 Meldung, die um Erlaubnis bittet. Angeblich ist auch ein Sicherheitzertifikat dabei. In de Meldung erscheint auch die Downloadquelle: "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" ... Sieht soweit nach der offiziellen Seite aus.

Übrigens: Nachdem man diese Adobe Update herunterläd, ist die Viruswarnung auch verschwunden. Komische oder ?!

Abschließen noch ein Hijackthis Logfile:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:12:57, on 01.03.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 4964 bytes


Was sagt ihr dazu ? Google sagt leider herzlich wenig =(

Grüße
Seitenanfang Seitenende
01.03.2012, 19:08
Swisstreasure
Moderator

Beiträge: 5694
#2 Hast Du es neu installiert oder repariert?
Seitenanfang Seitenende
01.03.2012, 21:26
Timotime
Member

Themenstarter

Beiträge: 15
#3 Neu installiert.
Seitenanfang Seitenende
01.03.2012, 22:52
Swisstreasure
Moderator

Beiträge: 5694
#4 Dann hast Du es aber nicht richtig gemacht. Ich will einmal sehen ob MBR in Ordnung ist:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
• Starte die aswMBR.exe
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
Seitenanfang Seitenende
01.03.2012, 23:05
Timotime
Member

Themenstarter

Beiträge: 15
#5 aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-01 23:02:03
-----------------------------
23:02:03.027 OS Version: Windows x64 6.1.7601 Service Pack 1
23:02:03.027 Number of processors: 4 586 0x402
23:02:03.027 ComputerName: THOMAS-PC UserName: Thomas
23:02:06.417 Initialize success
23:02:59.286 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
23:02:59.286 Disk 0 Vendor: WDC_WD6400AACS-00G8B0 05.04C05 Size: 610479MB BusType: 3
23:02:59.302 Disk 0 MBR read successfully
23:02:59.317 Disk 0 MBR scan
23:02:59.317 Disk 0 Windows 7 default MBR code
23:02:59.317 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
23:02:59.333 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 610377 MB offset 206848
23:02:59.364 Disk 0 scanning C:\Windows\system32\drivers
23:03:04.887 Service scanning
23:03:15.276 Modules scanning
23:03:15.276 Disk 0 trace - called modules:
23:03:15.292 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
23:03:15.292 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004a18060]
23:03:15.292 3 CLASSPNP.SYS[fffff8800165143f] -> nt!IofCallDriver -> [0xfffffa8003aa7d10]
23:03:15.807 5 ACPI.sys[fffff88000e607a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8003ac6060]
23:03:15.807 Scan finished successfully
23:04:34.241 Disk 0 MBR has been saved successfully to "C:\Users\Thomas\Desktop\MBR.dat"
23:04:34.241 The log file has been saved successfully to "C:\Users\Thomas\Desktop\aswMBR.txt"
Seitenanfang Seitenende
02.03.2012, 00:02
gangren
Member

Beiträge: 420
#6 http://forum.avira.com/wbb/index.php?page=Thread&threadID=142380
Seitenanfang Seitenende
02.03.2012, 09:44
Swisstreasure
Moderator

Beiträge: 5694
#7 Danke Gangren ;)

@timotime

Entscheide Dich für ein Forum!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1