Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Trojanerdownloader wird nicht richtig erkannt?

S

Suchit

^^
Hallo Forum,

ich nutze jetzt schon lange MSE und war bis vor kurzem auch noch sehr zufrieden damit.
Doch als ich vor drei Tagen, eine Schnellüberprüfung gemacht habe, wurde ein "Trojandownloader:Win32.Riprox.A" erkannt. Daraufhin entfernte ich ihn natürlich sofort mit MSE. Ich dachte alles wird gut. Als ich den PC das nächste Mal neustartete und einen Virenscan ausführte, wurde der angebliche Trojaner aber schon wieder erkannt. Also entfernte ich ihn sofort noch einmal, startete neu, aber leider ist er immer noch da. Dann dachte ich mir, probiere ich ihn mit Avira zu entfernen. Also MSE deinstalliert, Avira installiert, aber Avira erkennt rein gar nichts, nicht einmal mit einem kompletten Systemscan.
Soll das jetzt heißen, dass der angebliche Trojaner, den MSE immer wieder erkennt, kein Trojaner ist, sondern eine fehlerhafte Erkennung?
Das dumme ist ja auch, ich kann den Ort im Verzeichnis auch nicht ausmachen, da mir MSE darüber nichts mitteilt. Wenn ich auf weitere Deteils klicke, bekomme ich nur einen Link zu einer Microsoftseite, wo erklärt wird, dass ich das erkannte Element sofort entfernen soll.
Aber was soll ich denn jetzt machen? Ich möchte MSE "sicher" verwenden und im Grunde Avira wieder deinstallieren.

Ich will aber auch nicht mit einem Trojaner auf meinem System weiterarbeiten...
 
Anzeige
So, habe beide ausprobiert, jeweils mit vollständigem Scan. Aber keine infizierten Dateien...

Achso, und ich habe jeweils auch die aktuellste Definition heruntergeladen, bevor ich gescannt habe.
 
Versuche mal soetwas: Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen

Es gibt auch noch gute Onlinscanner die du anwenden kannst oder lade dir eine Live-CD herunter und brenne die bootfähig auf eine CD mit der du dann den Rechner startest um Schädlinge zu killen-Knoppix ist so eins aber es gibt jede Menge davon. Als allerletzte Möglichkeit bleibt dann nur noch neu aufsetzen oder hast du vielleicht irgendwann ein Backup gemacht?
 
Erst einmal vielen Dank für den Tipp mit Kaspersky Lab. Der hat wirklich was gefunden und mir endlich auch den Verzeichnisspfad genannt.
Allerdings weiß ich jetzt nicht wie ich das entfernen soll.
Angezeigt hat mir das Programm folgendes:

HEUR:Trojan.Win32.Generic
res_0001
c:\Users\"Benutzername"\AppData\Roaming\Microsoft\twunk_16.exe//res_0001/

Reicht es, wenn ich die .exe-Datei von Hand lösche? Denn MSE schafft das ja irgendwie nicht... Denn Kaspersky Lab zeigt ja nur Malware an, entfernt sie aber nicht.
 
@Suchit,

lösche diese händisch, über den angegebenen Pfad. Prüfe danach bitte nochmals mit @Jonn und/oder dem von mir angegebenen Programm.
 
Das ist ein Bestandteil von deinem Scan-Programm.
Da ist die heuristik zu scharf eingestellt.
Schau mal mit Hijackthis drüber.
mfg
csmulo
 
Okay Leute, danke für die guten Tipps. Ich habe es geschafft :D

Das Tool von Norton hat leider auch nichts gefunden...
Nachdem ich dann die Datei "twunk_16.exe" von Hand gelöscht hatte, habe ich sicherheitshalber noch einmal die Autostartprogramme überprüft. Dabei habe ich festgestellt, dass sich der Downloadtrojaner da reingeschmuggelt hat unter dem Namen "Twain Working Group".
Das Häckchen war gesetzt. Habe ich also entfernt, PC neugestartet, mit fast allen genannten Diensten noch einmal Komplettscan des PCs gemacht und nun wird nichts mehr gefunden.
Da ja kein Tool der oben genannten es entfernen konnte, außer Kaspersky erkennen konnte, aber nur gegen Geld entfernen konnte, denke ich dass MSE gar nicht so schlecht ist. Immerhin hat es die Bedrohung erkannt. Es hat sie auch entfernt, aber durch den Autostart hat sich der Trojaner immer wieder neugestartet und MSE hat ihn immer wieder neu entdeckt.

Naja, Hauptsache ich bin wieder sicher ;)

Nach einigen Internetquellen scheint es ein sicheres Programm zu sein, das angeblich Bestandteil von Windows XP war. Ergibt für mich aber keinen Sinn, da ich Windows 7 nutze und MSE ja wohl kaum ein "hauseigenes" Tool als Downloadtrojaner erkennen sollte...
 
Twain Working Group ist übrigens die Scanner-Schnittstelle. Wird unter anderem von HP genutzt.
Also falls du nen Scanner hast solltest du mal prüfen ob der noch funktioniert.
mfg
csmulo
 
Also du meinst jetzt keinen Virenscanner, sondern einen Hardwarescanner für Bilder, denke ich mal. Ich habe an diesem PC niemals einen Scanner angeschlossen oder Software dafür in irgendeiner Form installiert. Außerdem besitze ich gar kein HP-Gerät :)
 
@Suchit,

eine hundertprozentige Sicherheit, dass alles behoben wurde, gibt es nach einem Befall, ohne komplette Neuinstallation nicht.

@csmulo hat Recht, lese bitte noch einmal mit HijackThis - Download - CHIP Online den Log aus und bei Wunsch kannst du gerne den Text vollständig kopieren und in einem Spoiler-Code > hier einfügen. Siehe Screen >

Spoiler-Code.PNG
 
Okay, hier einmal das Logfile:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:53:02, on 06.10.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16450)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Launch Manager\LManager.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\"Benutzername"\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\"Benutzername"\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-21-2398025237-4005520760-3153840008-1001\..\Run: [Google Update] "C:\Users\"Benutzername"\AppData\Local\Google\Update\GoogleUpdate.exe" /c (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [IsMyWinLockerReboot] msiexec.exe /qn /x{voidguid} (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [IsMyWinLockerReboot] msiexec.exe /qn /x{voidguid} (User 'Default user')
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\SysWOW64\nvinit.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: Dritek WMI Service (DsiWMIService) - Dritek System Inc. - C:\Program Files (x86)\Launch Manager\dsiwmis.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GREGService - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GREGsvc.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Kaspersky Security Scan Service (KSS) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe
O23 - Service: Live Updater Service - Acer Incorporated - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Broadcom Corporation - C:\Program Files\Broadcom\Broadcom 802.11 Network Adapter\WLTRYSVC.EXE
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9572 bytes
 
@Suchit,

Logfile ist soweit in Ordnung, nichts bedenkliches Erkennbar.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben