![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojan Horse Generic3.GJYWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Trojan Horse Generic3.GJY Hallo alle zusammen! Nach vielen gesunden Jahren ist mein Notebook plötzlich krank geworden... Der oben genannte Bösewicht scheint noch ganz neu zu sein, denn ich kann nirgendwo Infos darüber finden. Deshalb hier die Frage: Wer kennt den Gesuchten? Und wer weiss, was meinem Notebook noch blüht? Und wie muss ich diesen Trojaner (?) bekämpfen? Neuinstallation scheidet aus, ich habe noch ein paar wenige, sehr wichtige, aber leider noch nicht gesicherte Daten darauf... Zum Geschehen: Anstatt ein lustiges Filmchen ging bei meinem letzten Internet-Besuch ein Download-Fenster auf, das sich nicht mehr schließen liess. Das Kabel habe ich wohl zu langsam gezogen. Nach dem ich der Installation also tatenlos zusah, entdeckte ich in der Taskleiste ein Symbol, das da nicht hingehörte (loader.exe). Ich denke, diese Vorgänge sind den meisten hier nicht ganz neu. Mir schon. Ich habe dann einen neuen Ordner in "Programme" entdeckt ("Video Access ActiveX Object") und es liefen auch ein paar neue Prozesse. Die konnte ich nicht beenden und den Ordnerinhalt nicht löschen. Ich habe dann die Dateien des Ordners umbenannt, die Prozesse beendet und dann konnte ich auch den Ordner löschen. Anschliessend hat mein AVG Free bei der Hintergrundsuche zweimal und bei einem veranlassten Scan einmal ähnlich klingende Trojaner entdeckt. Der letzte ist der oben genannte. Mittlerweile zeigt mir AVG keine Probleme mehr an. Außer: C:\WINDOWS\system32\shell32.dll Result: Change, Status: Changed C:\WINDOWS\system32\ntoskrnl.exe Result: Change, Status: Changed Habe ich mir etwas geholt, dass immer wieder neue Trojaner erzeugt? Wer also schon mal von sowas gehört hat, bitte melden! Viele Grüße, Kami ![]() Ach ja, hier mein Log-File, ich hoffe ich habe alle persönlichen Daten wegeditiert: Logfile of HijackThis v1.99.1 Scan saved at 00:13:12, on 21.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Generic\USB Card Reader Driver v2.2e4\FlashIcon.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\T-DSL SpeedManager\TSMSvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\*******\LOKALE~1\Temp\Rar$EX03.266\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: SuperBar - {A58E7B58-65B4-4DA0-A1FD-96105E37BF92} - C:\Programme\SUPERBAR\SUPERBAR.dll (file missing) O3 - Toolbar: SuperBar - {C1A72C8C-D8A2-449B-ABF7-CCE98C103185} - C:\Programme\SUPERBAR\SUPERBAR.dll (file missing) O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Programme\Video Access ActiveX Object\iesplugin.dll (file missing) O4 - HKLM\..\Run: [FlashIcon] C:\Programme\Generic\USB Card Reader Driver v2.2e4\FlashIcon.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.m**rosoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://h**p://security.syman**c.com/...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h**p://security.syman**c.com/.../bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://update.micros**t.com/m...?1155224727343 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe Geändert von KamiKatze (21.03.2007 um 00:23 Uhr) |
![]() | #2 | |
![]() ![]() ![]() ![]() ![]() | ![]() Trojan Horse Generic3.GJY Hallo
__________________Zitat:
![]() Ich rate mal, ein dummes Gesicht, richtig? Lade dir mal Smidfraudfix halte dich an die Anleitung und poste den rapport1.txt von vor und den rapport2.txt nach der Bereinigung sowie ein neues HijackThis Log. MFG |
![]() | #3 | ||
![]() ![]() ![]() | ![]() Trojan Horse Generic3.GJY @KamiKatze
__________________Hallo. Wie ich sehe, hast Du Dich für Deinen PC Ínteressiert, also Dich mit dem Thema Sicherheit auseinandergesetzt. Aber: Zitat:
Informiere Dich (on Board zB) über Sicherheit, Verhalten usw. (zB siehe Signatur(-en)) Ich selbst würde neuinstallieren, aber geh (erstmal) nach Anleitung von "nochdigger". Zitat:
![]() |
![]() | #4 |
| ![]() Trojan Horse Generic3.GJY Hallo erstmal! Freut mich so schnell eine, zwei Antworten zu bekommen! Zum Thema Datensicherung: Ich sichere ja regelmäßig. Aber nicht jedesmal wenn ich das Ding benutzt habe. Ich habe auch noch andere Hobbys ![]() Zum Thema I-Net als Admin: Ja wie denn sonst??? ![]() So, dann werde ich jetzt mal die vorgehensweise von nochdigger testen und noch mal posten. Viele Grüße, Kami |
![]() | #5 |
| ![]() Trojan Horse Generic3.GJY Hallo nochmal! Kann ich SmitFraudFix auch benutzen, wenn ich nur im Normalmodus booten kann? Mein System weigert sich strikt im abgesicherten Modus zu starten... Grüße, Kami P.S.: Im Moment läuft ja noch alles. Wenn ich jetzt sichere, kann ich die Daten DVD später Scannen? Verlässlich? Geändert von KamiKatze (21.03.2007 um 19:21 Uhr) |
![]() | #6 |
| ![]() Trojan Horse Generic3.GJY So, jetzt gibt es erst mal den rapport1.txt. Den zweiten kann ich erst machen wenn ich weiss, ob ich auch im nicht abgesicherten Modus mit dem Programm arbeiten kann/darf/soll. SmitFraudFix v2.151 Scan done at 19:07:33,39, 21.03.2007 Run from C:\Dokumente und Einstellungen\XXXXXXX\Eigene Dateien\Downloads\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXXXXXX »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXXXXXX\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\XXXXXXX\FAVORI~1 C:\DOKUME~1\XXXXXXX\FAVORI~1\Online Security Test.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{aed6f6a3-183c-488d-9f90-23db99f56e7f}"="apathies" [HKEY_CLASSES_ROOT\CLSID\{aed6f6a3-183c-488d-9f90-23db99f56e7f}\InProcServer32] @="C:\WINDOWS\system32\geplxss.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{aed6f6a3-183c-488d-9f90-23db99f56e7f}\InProcServer32] @="C:\WINDOWS\system32\geplxss.dll" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
![]() |
Themen zu Trojan Horse Generic3.GJY |
antivirus, antivirus scan, avg, avg free, bho, computer, confused, e-mail, firefox, frage, hijack, hijackthis, immer wieder, internet explorer, langsam, mozilla, mozilla firefox, object, rundll, scan, server, shell32.dll, software, solution, symantec, system, trojan, trojaner, usb, windows, windows xp, wlan, write, zu langsam |