Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.04.2007, 14:49   #1
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo liebe Computerexperten,

ich hab ein Problem. An meinem relativ neuem HP-Rechner meldet Norman die im Titel genannte Infektion in der winlogon32.dll.
Hier mein HJT Log-File:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:59:50, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Apo\Iominisv.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\APO\IODLL\PRNSERV.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42382910.dll
O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mops.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
Was kann ich tun?
Wie bin ich zu dieser Software gekommen?
Über eine Hilfe würde ich mich sehr freuen.

Herzliche Grüße aus Berlin
Robert

Alt 23.04.2007, 15:11   #2
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



@Bilch
EDIT: Bitte Pfadangaben komplett eingeben
Zitat:
LW:\???????\??????\winlogon32.dll
Kennst du dieses Programm?
Zitat:
C:\APO\IOMINISV.EXE
Wenn nein - bitte die Datei bei www.virustotal.com auswerten, Protokoll inkl. MD-Prüfsumme hier posten.
Fixe mit HiJackThis
Zitat:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42382910.dll
O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mops.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
Lade mal das Tool herunter,
entpacke in einen Nicht-Temp-Ordner, starte AVZ.EXE, File/On-Line automatic Update/Start. Dann File/Custom Scripts, kopiere die folgenden Zeilen ins Fenster
Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ipv6mops.dll');
 DeleteFile('C:\WINDOWS\42382910.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ipv6mops.dll');
 BC_DeleteFile('C:\WINDOWS\42382910.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
         
und drücke auf Run, Nach dem Reboot erstelle den neuen HJT-Log.
__________________


Geändert von Rene-gad (23.04.2007 um 15:43 Uhr) Grund: TNX an [Gc]Sunny !!!

Alt 23.04.2007, 15:36   #3
Sunny
Administrator
> Competence Manager
 

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



ZUsätzlich noch folgende Datei aus dieser Zeile auswerten...

Zitat:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42382910.dll
...und das Ergebnis, wie Rene-gad beschrieben hat, hier im Beitrag mit einfügen.

Sunny
__________________
__________________

Alt 23.04.2007, 18:12   #4
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo,
vielen Dank zuerst für Eure schnellen Antworten. Ich hoffe ich hab alle Hausaufgaben erledigt...
Die Datei vom Norman war C:\windows\winlogon32.dll
Zu C:\APO\IOMINISV.EXE dieses Programm kenne ich.

Die drei Fixes im HJT und dann AVZ wie angegeben habe ich ausgeführt.
Hier das neue HJT Log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:49:48, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
@sunny: Das mit dem Virustotal hat etwas gedauert und ich verstehe nicht so genau, was ich Euch hier antworten soll. Es ist aber was gefunden worden, vielleicht hilft Euch der Link zum Ergebnis:
::::: VirusTotal :::::

Einen Escan hatte ich vorher auch noch mit folgendem Ergebnis durchgeführt:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Mon Apr 23 16:28:57 2007 => Virus-Datenbank Datum: 4/23/2007
Mon Apr 23 17:01:20 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:39 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:48 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:04 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:19 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:43 2007 => Datei C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:35:39 2007 => Datei C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002320.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002332.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002339.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:54:05 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:27 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:45 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:59:10 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 17:01:20 2007 => Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 23 16:31:42 2007 => File C:\DOKUME~1\Apotheke\LOKALE~1\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:31:59 2007 => Datei C:\APO\ALT\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:32:42 2007 => Datei C:\APO\ALT\IOUPD.EXE//WISE0296.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:33:21 2007 => Datei C:\APO\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:35:38 2007 => File C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:51:02 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001263.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:46 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001361.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:50 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001468.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:52:07 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001748.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Executable Command Found in D\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:31:40 2007 => C:\DOKUME~1\Apotheke\LOKALE~1\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 23 16:35:36 2007 => C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\i386\HOSTS:
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 17:01:20 2007 => Gescannte Dateien: 59047
Mon Apr 23 17:01:20 2007 => Gefundene Viren: 25
Mon Apr 23 17:01:20 2007 => Anzahl der desinfizierten Dateien: 0
Mon Apr 23 17:01:20 2007 => Umbenannte Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl der gelöschten Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl Fehler: 24
Mon Apr 23 17:01:20 2007 => Dauer des Scans bisher: 00:31:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:08 2007 => Specherüberprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Registry Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung aller Festplatten :Aktiviert
So...
...Leider läuft der Rechner nur noch im abgesicherten Modus.
Ist noch was zu retten?

Herzliche Grüße aus Berlin
Robert

Alt 23.04.2007, 18:20   #5
Sunny
Administrator
> Competence Manager
 

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Ausrufezeichen

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Das Hijacklog sieht schon ganz gut aus, aber ein paar Dateien scheinen da immer noch zu sein.

Mach daher folgendes:



Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\42382910.dll
C:\WINDOWS\system32\ipv6mops.dll
C:\WINDOWS\winlogon32.dll
C:\WINDOWS\system32\pefhvioc.exe
C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Sunny

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 23.04.2007, 18:22   #6
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Zitat:
Zitat von Bilch Beitrag anzeigen
...Leider läuft der Rechner nur noch im abgesicherten Modus.
Bekommst du eine Fehlermeldung, wenn du im Normalmodus starten willst? Wenn Ja - welche?
Versuche im AVZ File/System Recovery zu starten.

Alt 24.04.2007, 10:12   #7
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo und guten Morgen,
vielen herzlichen Dank Sunny für Deine schnelle Antwort, aber ich hatte gestern einfach kein Bock mehr auf Computer...
... neuer Tag neues Glück.
Der Rechner startet auch wieder im normalen Modus.
Aber: der IE startet automatisch und ruft "merkwürdige Seiten" auf...
Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ
Habe jetzt wie empfohlen die Systemwiederherstellung ausgeschaltet und lasse nun Norman über die Platte flitzen.
Melde mich sobald er fertig ist.
Soll ich dann den Avenger benutzen?
Vielen Dank nochmal!
Herzliche Grüße
Robert

Alt 24.04.2007, 10:23   #8
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Zitat:
Zitat von Bilch Beitrag anzeigen
Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ
1. Grundsätzlich: Norman ist eh keine gute Wahl (AV-Comparatives)
2. Führe im AVZ den Script aus:
Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\windows\winlogon32.dll');
 BC_DeleteFile('C:\windows\winlogon32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
         
3. Danach poste den neuen HJT-Log.
BTW: Seit gestern ist das Englische Unterforum bei Virusinfo.Info-Alma-Mater des AVZ-Tools eröffnet

Alt 24.04.2007, 10:42   #9
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo,
1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz und war bisher eigentlich auch ganz zufrieden. Aber vor kurzem war wohl Norman wegen Installationsarbeiten abgeschaltet und ist anschließend nicht wieder aktiviert worden. Nachdem die Kollegin ein bischen gegoogelt hat ...
... den Rest kennt ihr. :-(
2. Habe ich ausgeführt.
3. HJTLogfile:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 11:35:36, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
Vielen Dank für Deinen Einsatz
Herzliche Grüße aus Berlin
Robert

Alt 24.04.2007, 10:49   #10
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



@Bilch
Der letzte Log sieht sauber aus. Wenn es keine Meldungen von Norman mehr gibt, kann man von einer Bereinigung sprechen . Zur Sicherheit:
1. Lade AdAware+Spybot Search & Destroy herunter, updaten, scannen, Probleme beheben
2. http://www.trojaner-board.de/38066-e...ightymarc.html
. Bei Funden den Log (Find.bat bitte verwenden!!!) posten.

Alt 24.04.2007, 11:23   #11
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo,
das wäre ja auch zu schön um wahr zu sein...
... als AdAware lief schlug Norman wieder mit der gleichen Meldung an.
habe HJT erneut laufen lassen mit folgendem Protokoll:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:17:19, on 24.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winlogon32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
Soll ich jetzt den eScan starten?
Danke
Gruß
Robert

Alt 24.04.2007, 11:57   #12
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Zitat:
Zitat von Bilch Beitrag anzeigen
Hallo,
das wäre ja auch zu schön um wahr zu sein...
Da gebe ich dir recht.
Zitat:
1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz
Handelt es sich hier um einen Netzwerk? Die Seuche läuft rum:
Zitat:
C:\WINDOWS\winlogon32.exe
Das ist wahrscheinlich ein Trojan-Backdoor(?). Bitte folgendermaßen vorgehen:
EDIT: Schalte Norman On-Access-Scanner aus!!!
1. Starte AVZ
2. Services/File search
3. Links LW C:\ anhaken
4. Im Feld File Name or mask
Code:
ATTFilter
C:\WINDOWS\winlogon32.exe
         
eingeben.
5. Icon Copy to Quarantine drücken
Im AVZ-Verzeichnis findest du den Unterordner Quarantine/2007-04-24. Inhalt dessen in eine ZIP-Datei verpacken und bei www.virustotal.com überprüfen. Protokoll inkl. MD-Prüfsumme-Daten posten.
EDIT: Schalte Norman On-Access-Scanner ein!!!
PS: Entweder haben zum Internet angeschlossenen PCs keinen aktuellen Sicherheits-Stand (Microsoft Windows Update) oder...
PS2: Im Zweifelsfall melde dich bei VirusInfo.Info an: Dort werden die speziellen AVZ-Logs geprüft, die viel tiefer greifen, als HJT. Über TB kann ich leider nichts tun, denn die Logs an Virusinfo-Server hochgeladen werden müssen.

Geändert von Rene-gad (24.04.2007 um 12:06 Uhr)

Alt 24.04.2007, 12:58   #13
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo,
Danke für Deine schnelle Antwort,
ja es handelt sich um ein Netzwerk mit zehn Rechnern.
Alle sind aber auf aktuellem Stand. Kein anderer Scanner hat bisher angeschlagen.
Hier das Virustotal Ergebnis:
Zitat:
Antivirus Version Update Result
AhnLab-V3 2007.4.24.0 04.23.2007 no virus found
AntiVir 7.4.0.14 04.24.2007 TR/Crypt.XPACK.Gen
Authentium 4.93.8 04.23.2007 no virus found
Avast 4.7.981.0 04.23.2007 no virus found
AVG 7.5.0.464 04.23.2007 no virus found
BitDefender 7.2 04.24.2007 no virus found
CAT-QuickHeal 9.00 04.23.2007 no virus found
ClamAV devel-20070416 04.24.2007 no virus found
DrWeb 4.33 04.24.2007 no virus found
eSafe 7.0.15.0 04.23.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3592 04.24.2007 no virus found
Ewido 4.0 04.24.2007 Trojan.Small
FileAdvisor 1 04.24.2007 no virus found
Fortinet 2.85.0.0 04.24.2007 Adware/Small
F-Prot 4.3.2.48 04.23.2007 no virus found
F-Secure 6.70.13030.0 04.24.2007 Trojan-Clicker.Win32.Small.kj
Ikarus T3.1.1.5 04.24.2007 Trojan-Clicker.Win32.Small.KJ
Kaspersky 4.0.2.24 04.24.2007 Trojan-Clicker.Win32.Small.kj
McAfee 5015 04.23.2007 no virus found
Microsoft 1.2405 04.24.2007 no virus found
NOD32v2 2214 04.24.2007 no virus found
Norman 5.80.02 04.23.2007 no virus found
Panda 9.0.0.4 04.23.2007 Adware/Lop
Prevx1 V2 04.24.2007 Rootkit.DialCall
Sophos 4.16.0 04.23.2007 Mal/WSClk-A
Sunbelt 2.2.907.0 04.19.2007 no virus found
Symantec 10 04.24.2007 no virus found
TheHacker 6.1.6.095 04.15.2007 no virus found
VBA32 3.11.4 04.23.2007 no virus found
VirusBuster 4.3.7:9 04.23.2007 no virus found
Webwasher-Gateway 6.0.1 04.24.2007 Trojan.Crypt.XPACK.Gen


Aditional Information
File size: 8425 bytes
MD5: 1010af92c594d697551a270a2ca3ad93
SHA1: 01f86711945b0cddf154c9b90f5014596a70519b
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e01d90866346
Ich hoffe das sind die Daten die Du wissen musst.
Ansonsten hier der Link:
::::: VirusTotal :::::
Über Deine PS möchte ich lieber noch nicht nachdenken.
Sollte ich den Rechner doch lieber neu aufsetzen?
Sorgenvolle Grüße
Robert

Alt 24.04.2007, 13:06   #14
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



@Bilch
Zitat:
Sollte ich den Rechner doch lieber neu aufsetzen?
Wäre nicht verkehrt. Man muss aber vermuten, dass mit der gleichen Seuche alle PCs im Netzwerk betroffen sind, somit ist es jede Menge Arbeit, 10 PCs neu aufzuspielen.
Versuche noch mit AVZ die Datei zu löschen (als Schritt 5 - Fund(e) anhaken und das Icon Delete Selected ... drücken)
Zitat:
Alle sind aber auf aktuellem Stand. Kein anderer Scanner hat bisher angeschlagen.
Wie man aus dem Virustotal-Log beschließen kann, erkennt Norman den Virus (noch) nicht.

Geändert von Rene-gad (24.04.2007 um 13:16 Uhr)

Alt 24.04.2007, 13:29   #15
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?



Hallo,
das Löschen über AVZ hat leider keinen Erfolg gebracht, Norman hat die Datei wiedergefunden...
Werde den Rechner wohl doch neu aufsetzen und mal die anderen checken. Vielleicht habe ich ja Glück und sie sind noch nicht befallen.
Vielen Dank schon mal für alles, werde mich aber in Kürze melden, wie es ausgegangen ist.
Herzliche Grüße aus Berlin
Robert

Antwort

Themen zu Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?
adobe, bho, defense, excel, explorer, hijack, hijackthis, html, internet, internet explorer, log-file, logfile, messenger, microsoft, norman, programme, refresh, seite, software, system, system32, trojaner, virus, windows, windows xp, winlogon




Ähnliche Themen: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


  1. svchost Trojaner. Wie werde ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (27)
  2. Wie werde ich den Bundespolizei Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2012 (4)
  3. Wie werde ich den GVU-Trojaner los
    Plagegeister aller Art und deren Bekämpfung - 06.10.2012 (14)
  4. Wie werde ich GVU Trojaner wieder los???
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (2)
  5. BKA Trojaner – wie werde ich ihn los?
    Log-Analyse und Auswertung - 29.09.2011 (21)
  6. Wie werde ich meinen Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2010 (1)
  7. werde die trojaner nicht los....
    Log-Analyse und Auswertung - 21.01.2009 (0)
  8. Trojaner...wie werde ich sie los?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2008 (0)
  9. TR/Smalltroj.ELLI
    Log-Analyse und Auswertung - 31.08.2008 (1)
  10. Wie werde ich Trojaner los??
    Plagegeister aller Art und deren Bekämpfung - 31.07.2008 (14)
  11. Trojaner? Wie werde ich das wieder los?
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (6)
  12. Werde Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 25.04.2007 (16)
  13. Trojaner TR/VB.aqt.1 wie werde ich ihn los?
    Log-Analyse und Auswertung - 14.04.2007 (19)
  14. wie werde ich den trojaner vom pc los?
    Antiviren-, Firewall- und andere Schutzprogramme - 14.02.2006 (1)
  15. wie werde ich Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2005 (1)
  16. Trojaner jaaste.dll - Wie werde ich ihn los?
    Log-Analyse und Auswertung - 23.07.2005 (3)
  17. werde den trojaner net los
    Log-Analyse und Auswertung - 08.04.2005 (13)

Zum Thema Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Hallo liebe Computerexperten, ich hab ein Problem. An meinem relativ neuem HP-Rechner meldet Norman die im Titel genannte Infektion in der winlogon32.dll. Hier mein HJT Log-File: Zitat: Logfile of HijackThis - Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?...
Archiv
Du betrachtest: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.