Supportnet / Forum / Security/Viren
Lauter Trojaner
Frage
Hi,
ich hab das kostenlose Antivirenprogramm AntiVir, welches ich mit den neusten Updates wg. dem folgenden Problem durchlaufen lassen hab - ohne Funde!
Die ganze Zeit (so jede Minute) meldet der Anti Vir eine Warnung mit z.B. folgenden Inhalten:
[b] [i]
z.B.
C:WINDOWSSYSTEM32AUDISSRP.EXE
Ist das Trojanische Pferd TR/Click.Agent.CN
oder so:
C:WINDOWSSYSTEM32AUTODMFP.EXE
Ist das Trojanische Pferd TR/Derent.GP
oder so:
C:WINDOWSSYSTEM32CHKNTFSFAT.EXE
Ist das Trojanische Pferd TR/StartPage.VT
[/i][/b]
(die Inhalte sind immer verschieden)
Ich drücke immer auf Datei löschen aber trotzdem kommt das jede Minute. Was kann ich denn dagegen machen? Ich hab alles mit Hijackthis bereinigt, bringt aber nix...
Bitte Helft ....!!!
MfG
Daniel
Antwort 1 von Daniel_M
oder so:
C:WINDOWSSYSTEM32LODCTRPD.EXE
Ist das Trojanische Pferd TR/Dldr.Murlo.F
oder so:
C:WINDOWSSYSTEM32AUDISSRP.EXE
Ist das Trojanische Pferd TR/Click.Agent.CN
(ok, das kam jetzt doppelt)
C:WINDOWSSYSTEM32LODCTRPD.EXE
Ist das Trojanische Pferd TR/Dldr.Murlo.F
oder so:
C:WINDOWSSYSTEM32AUDISSRP.EXE
Ist das Trojanische Pferd TR/Click.Agent.CN
(ok, das kam jetzt doppelt)
Antwort 2 von Utti
Hi,
lad dir Spybot bzw. Adaware, Stinger und aktuelle Version Antivir, die du ja schon hast, geh in den abgesicherten Modus lass sie alle mal drüberlaufen und dein System ist rein.
Vielleicht noch eventuelle bösartige Starteinträge in der msconfig bzw. noch besser in der services.msc rauslöschen und schon hauts wieder hin...
lad dir Spybot bzw. Adaware, Stinger und aktuelle Version Antivir, die du ja schon hast, geh in den abgesicherten Modus lass sie alle mal drüberlaufen und dein System ist rein.
Vielleicht noch eventuelle bösartige Starteinträge in der msconfig bzw. noch besser in der services.msc rauslöschen und schon hauts wieder hin...
Antwort 3 von Daniel_M
Hi,
AdAware hab ich durlaufen lassen, is bereinigt. Nur Spybot sucht schon seit 5 Minuten nach nem Systemwiederherstellungspunkt. Ist das Normal?
AdAware hab ich durlaufen lassen, is bereinigt. Nur Spybot sucht schon seit 5 Minuten nach nem Systemwiederherstellungspunkt. Ist das Normal?
Antwort 4 von relena
Hi,
drück mal strg+alt+entf und klick nach geöffnetem taskmanager in das spybotfenster, der hängt schon mal ;o)
relena
drück mal strg+alt+entf und klick nach geöffnetem taskmanager in das spybotfenster, der hängt schon mal ;o)
relena
Antwort 5 von Daniel_M
Hi,
ok danke, hat geklappt.
sorry, aber wie mache ich das ...
ok danke, hat geklappt.
Zitat:
Vielleicht noch eventuelle bösartige Starteinträge in der msconfig bzw. noch besser in der services.msc rauslöschen und schon hauts wieder hin...
Vielleicht noch eventuelle bösartige Starteinträge in der msconfig bzw. noch besser in der services.msc rauslöschen und schon hauts wieder hin...
sorry, aber wie mache ich das ...
Antwort 6 von relena
Hi,
also Start- Ausführen- msconfig+enter- Reiter Systemstart, dort schauen was sein darf und was nicht deaktivieren.
Wie immer rate ich bei sowas zu Vorsicht.
Denke aber, dass das unnötig sein wird, da ich davon ausgehe, dass deine Scans im Abgesicherten mit deaktivierter Systemsteuerung gelaufen siond. Dann muß der Rechner auch so clean sein.
Wenn trotzdem was ist, poste was du meinst, was schlecht ist, wir gucken gerne :o)
relena
also Start- Ausführen- msconfig+enter- Reiter Systemstart, dort schauen was sein darf und was nicht deaktivieren.
Wie immer rate ich bei sowas zu Vorsicht.
Denke aber, dass das unnötig sein wird, da ich davon ausgehe, dass deine Scans im Abgesicherten mit deaktivierter Systemsteuerung gelaufen siond. Dann muß der Rechner auch so clean sein.
Wenn trotzdem was ist, poste was du meinst, was schlecht ist, wir gucken gerne :o)
relena
Antwort 7 von Daniel_M
Hi,
ach im Abgesicherten Modus, ... oops ... da war ich wohl etwas zu schnell. Jetzt hab ich aber schon wieder ne Frage *ich dumm sein*, wie komm ich in den Abgesicherten Modus? Bitte nit böse sein, wg. der dummen Fragen
MfG
Daniel
ach im Abgesicherten Modus, ... oops ... da war ich wohl etwas zu schnell. Jetzt hab ich aber schon wieder ne Frage *ich dumm sein*, wie komm ich in den Abgesicherten Modus? Bitte nit böse sein, wg. der dummen Fragen
MfG
Daniel
Antwort 8 von relena
Hi,
nein kein Problem, hab auch mal klein angefangen ;o)
Abgesicherter Modus
Du bootest neu,
dann wenn der die Laufwerke hochgezählt hat, also festplatte cd und so,
drückst du F8 und hältst das,
dann kommt ein Auswahlmenü, dort mit tastatur auswählen Abgesicherter Modus mit Netzwerktreibern (mit den Treibern, weil der sauberer lädt), dann als Administrator anmelden.
Meldung bestätigen.
systemwiederherstellung deaktivieren
Start- Systemsteuerung- System- Reiter Systemwiederherstellung- Haken setzen bei für alle Laufwerke deaktivieren.
So und nun kannst du scannen, wie in dem anderen Modus auch.
Achtung!
Der abgesicherte Modus ist ein reines Wartungskonto und als solches zu verwenden, also auf keinen Fall darunter eine Internetverbindung aufbauen oder ähnliches.
lg relena
nein kein Problem, hab auch mal klein angefangen ;o)
Abgesicherter Modus
Du bootest neu,
dann wenn der die Laufwerke hochgezählt hat, also festplatte cd und so,
drückst du F8 und hältst das,
dann kommt ein Auswahlmenü, dort mit tastatur auswählen Abgesicherter Modus mit Netzwerktreibern (mit den Treibern, weil der sauberer lädt), dann als Administrator anmelden.
Meldung bestätigen.
systemwiederherstellung deaktivieren
Start- Systemsteuerung- System- Reiter Systemwiederherstellung- Haken setzen bei für alle Laufwerke deaktivieren.
So und nun kannst du scannen, wie in dem anderen Modus auch.
Achtung!
Der abgesicherte Modus ist ein reines Wartungskonto und als solches zu verwenden, also auf keinen Fall darunter eine Internetverbindung aufbauen oder ähnliches.
lg relena
Antwort 9 von Daniel_M
Zitat:
Der abgesicherte Modus ist ein reines Wartungskonto und als solches zu verwenden, also auf keinen Fall darunter eine Internetverbindung aufbauen oder ähnliches.
Der abgesicherte Modus ist ein reines Wartungskonto und als solches zu verwenden, also auf keinen Fall darunter eine Internetverbindung aufbauen oder ähnliches.
Ich hab aber ein Router, und der ist ständig mim Internet verbunden -> Flatrate Ist das schlimm?
MfG
Daniel
Antwort 10 von Utti
Naja normalerweise hast du ja sowieso keine Chance via Netzwerkkarte ins Inet zu kommen, im abgesicherten Modus (ohne alles) aber trenn einfach PC von Router und problem ist gelöst kannst ihn ja nachher wieder anstecken!
Antwort 11 von Daniel_M
Hi,
also, es hat geklappt. Vielen Dank!
Nur, läd das Win jetzt immer seeeeeehr seeeeeehr lange an dem Startbildschirm, wo WinXP steht und untendrunter ein Balken läuft. Hab ich vielleicht was falsch gemacht?
MfG
Daniel
also, es hat geklappt. Vielen Dank!
Nur, läd das Win jetzt immer seeeeeehr seeeeeehr lange an dem Startbildschirm, wo WinXP steht und untendrunter ein Balken läuft. Hab ich vielleicht was falsch gemacht?
MfG
Daniel
Antwort 12 von relena
Hi,
hm gut *puuuh* das mit dem balken ist schon okay so, die lange Ladezeit jedoch nicht *grummel*
Also doch start- ausführen- msconfig
reiter Systemstart
dort schauen, was da so alles aktiv ist und am besten mal posten, dürfte ja nicht so viel sein.
lg relena
hm gut *puuuh* das mit dem balken ist schon okay so, die lange Ladezeit jedoch nicht *grummel*
Also doch start- ausführen- msconfig
reiter Systemstart
dort schauen, was da so alles aktiv ist und am besten mal posten, dürfte ja nicht so viel sein.
lg relena
Antwort 13 von Daniel_M
Hi,
aaaalso, unter der Karte Systemstart:
SysTray
SiSUSBrg
RunDll32 cmicnfg
NvCpl
nwiz
NeroCheck
PUPXPTWK
iTouch
jusched
dumprep 0 -k
DATALA~1
TRAYAP~1
ngserver
realsched
AVGNT
cftmon
datray
IncMail
Seti@home
( vorne leeres Kästchen)
Skype
rundll32
Symantec Fax Star...
Adobe Reader - Sc...
Kann man damit was anfangen? Wenn nich, schreib ich noch die sachen rein, die dahinter stehen
aaaalso, unter der Karte Systemstart:
SysTray
SiSUSBrg
RunDll32 cmicnfg
NvCpl
nwiz
NeroCheck
PUPXPTWK
iTouch
jusched
dumprep 0 -k
DATALA~1
TRAYAP~1
ngserver
realsched
AVGNT
cftmon
datray
IncMail
Seti@home
( vorne leeres Kästchen)
Skype
rundll32
Symantec Fax Star...
Adobe Reader - Sc...
Kann man damit was anfangen? Wenn nich, schreib ich noch die sachen rein, die dahinter stehen
Antwort 14 von Daniel_M
MfG
Daniel
Daniel
Antwort 15 von relena
Hi,
sieht wild aus.
Hijackthis und automatisches Logfile dürfte schon mal etwas sortieren.
Auf den ersten Blick
jusched ist java muß nicht unbedingt immer laufen
DATALA~1
TRAYAP~1
sieht mir nach synchronisierungskram aus nokia software oder so und die muß auch nicht beim start mitlaufen.
mach mal logauswertung und fixe die roten einträge, dann sehen wir weiter.
lg relena
sieht wild aus.
Hijackthis und automatisches Logfile dürfte schon mal etwas sortieren.
Auf den ersten Blick
jusched ist java muß nicht unbedingt immer laufen
DATALA~1
TRAYAP~1
sieht mir nach synchronisierungskram aus nokia software oder so und die muß auch nicht beim start mitlaufen.
mach mal logauswertung und fixe die roten einträge, dann sehen wir weiter.
lg relena
Antwort 16 von Daniel_M
Hi,
im Hijackthis war/ist alles gereinigt.
Also liegts daran nicht...
MfG
Daniel
im Hijackthis war/ist alles gereinigt.
Also liegts daran nicht...
MfG
Daniel
Antwort 17 von relena
Hi,
also ich sag dir was vollkommen komisch ist
fragwürdig, weil komisch
SysTray
SiSUSBrg
RunDll32 cmicnfg alles drei systemprogramme aber warum im Autostart
fragwürdig
PUPXPTWK mir gänzlich unbekannt
Seti@home
( vorne leeres Kästchen) gehört das zu deinem incredimail?
so synchronisierungssoftware und skype müssen eigentlich nicht als Service laufen, der lädt die Prozesse eh beim Programmstart.
was wir nun noch machen können ist mit dem Prozessexplorer
das anschauen, was nach dem start noch am laufen ist.
Da steht dann auch bei, welches Prog welchen Prozess startet.
Zusätzlich könntest du deinen Prefetchordner mal leeren, laut MS alle zwei Monate ganz Sinnig.
lg relena
also ich sag dir was vollkommen komisch ist
fragwürdig, weil komisch
SysTray
SiSUSBrg
RunDll32 cmicnfg alles drei systemprogramme aber warum im Autostart
fragwürdig
PUPXPTWK mir gänzlich unbekannt
Seti@home
( vorne leeres Kästchen) gehört das zu deinem incredimail?
so synchronisierungssoftware und skype müssen eigentlich nicht als Service laufen, der lädt die Prozesse eh beim Programmstart.
was wir nun noch machen können ist mit dem Prozessexplorer
das anschauen, was nach dem start noch am laufen ist.
Da steht dann auch bei, welches Prog welchen Prozess startet.
Zusätzlich könntest du deinen Prefetchordner mal leeren, laut MS alle zwei Monate ganz Sinnig.
lg relena
Antwort 18 von Utti
Wieviele Prozesse laufen bei dir eigentlich im Hintergrund, wenn das Gerät hochgefahren ist?
Bei mir sinds 22 und das reicht völlig, System ist extrem flott, wüsste nicht was die ganzen 0815 Dienst im Hintergrund zu suchen hätten...
Bei mir sinds 22 und das reicht völlig, System ist extrem flott, wüsste nicht was die ganzen 0815 Dienst im Hintergrund zu suchen hätten...
Antwort 19 von Daniel_M
ähm 36
Antwort 20 von Daniel_M
sind es bei mir
Antwort 21 von relena
Hi,
dann sag uns doch mal was da so läuft, vielleicht nen kleinen server parallel dadrauf?
Nicht lachen, hab ich echt schon erlebt X-)
Schau doch mal direkt nach dem Systemstart mit dem Processexplorer, link hast du in post 17 was da läuft.
Wie gesagt, synchronisierungssoftware für PDA und Handy muß ja nicht immer laufen, genauso wenig wie die jusched.exe, die kannst du auch bei bedarf so starten, aber ich meine das startet sich von selbst auf Abruf.
Incredimail muß IMHO auch nicht als service laufen.
lg relena
dann sag uns doch mal was da so läuft, vielleicht nen kleinen server parallel dadrauf?
Nicht lachen, hab ich echt schon erlebt X-)
Schau doch mal direkt nach dem Systemstart mit dem Processexplorer, link hast du in post 17 was da läuft.
Wie gesagt, synchronisierungssoftware für PDA und Handy muß ja nicht immer laufen, genauso wenig wie die jusched.exe, die kannst du auch bei bedarf so starten, aber ich meine das startet sich von selbst auf Abruf.
Incredimail muß IMHO auch nicht als service laufen.
lg relena
Antwort 22 von relena
btw, bei mir laufen 10 Sachen im Systemstart und direkt nach dem boot 23 Prozesse (inkl. Style XP)
lg relena
lg relena