Hallo,

ich hatte heute meinen PC aufgeräumt inklusive alles geupdatet und gescannt nach Viren und Co. Weil bei meinem Spiel ein Acc-Hack war und mir alles gelöscht wurde. Ich fühle mich immernoch nicht sicher.

Jetzt saß ich auf meiner Couch und guckte Fern. Der PC lief ganz normal auf dem Desktop und aufeinmal hat AntiVir eine Meldung von sich gegeben. Und zwar kam folgender Hinweis:

Enthält Signatur des Droppers: DR/Spy.GWGhost.W

Bei Google kann ich nix finden zu dem DR/Spy.GWGhost.W.
Da dachte ich mir ich poste mal hier und dazu die HiJack Log-File.


Dann ergab sich dieses draus:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 20:55:29, on 01.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Winamp\winampa.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sebastian\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AWMON] "D:\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158170031984
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158170020281
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Ich sehe da keinerlei Fehler nur das mich dieser Fund da etwas drückt. Ich weiss nicht was das ist. Denn ich hatte einen KeyLogger drauf wegen des einen Spiels. Und ich weiss nicht ob er 100% runter ist.

so long, pHares

Hallo Phares,

dein Logfile sieht meiner Ansicht nach "clean" aus! :aplaus:

Sieh mal im letzten Report von Antivir nach wo genau der Schädling gefunden wurde! (genaue Verzeichnis- / Pfadangabe wäre von Vorteil )

Gruß
Sunny

Ok,

hier ist sie. Aber ein komsicher Pfad ist das

Letzte Betroffende Datei:
F:\System Volume Information\_restore{CEC916A4-410D-45F4-80B6-4F68897D37F8}\RP14\A0011341.exe

Letzter gefundender Virus:
DR/Spy.GWGhost.W

Wenn ich dort reingehe: F:\System Volume Information\_restore{CEC916A4-410D-45F4-80B6-4F68897D37F8}
Zeigt er mir Ordner an mit RP0 bis RP15
Wenn ich dann unter RP15 gehe sind da sämtliche *.exe Dateien von bekannten Programmen halt. Ich verstehe den Ordner nicht den sieht man auch nicht! Versucht man mit F:\System Volume Information\ rauf zu gehe geht es nicht nur mit den ziffern da.

Hallo,

Zitat:

Zitat von pHares

Letzte Betroffende Datei:
F:\System Volume Information\_restore{CEC916A4-410D-45F4-80B6-4F68897D37F8}\RP14\A0011341.exe

Dabei handelt es sich um die Systemwiederherstellung! Diese Deaktivieren, Rechner Neustarten und wieder Aktiviern. Dann sollte es weg sein!

Gruß Mellosun

Ok, habe sie Deaktiviert. Ist das denn dadurch wieder ein stückchen sicherer? Weil ja dann keien Dateien mehr da abgesichert werden.

Jetzt kannst Du die Systemwiederherstellung wieder einschalten