|
Log-Analyse und Auswertung: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.04.2007, 14:49 | #1 | |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo liebe Computerexperten, ich hab ein Problem. An meinem relativ neuem HP-Rechner meldet Norman die im Titel genannte Infektion in der winlogon32.dll. Hier mein HJT Log-File: Zitat:
Wie bin ich zu dieser Software gekommen? Über eine Hilfe würde ich mich sehr freuen. Herzliche Grüße aus Berlin Robert |
23.04.2007, 15:11 | #2 | |||
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? @Bilch
__________________EDIT: Bitte Pfadangaben komplett eingeben Zitat:
Zitat:
Fixe mit HiJackThis Zitat:
entpacke in einen Nicht-Temp-Ordner, starte AVZ.EXE, File/On-Line automatic Update/Start. Dann File/Custom Scripts, kopiere die folgenden Zeilen ins Fenster Code:
ATTFilter begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\ipv6mops.dll'); DeleteFile('C:\WINDOWS\42382910.dll'); BC_DeleteFile('C:\WINDOWS\system32\ipv6mops.dll'); BC_DeleteFile('C:\WINDOWS\42382910.dll'); ExecuteSysClean; BC_Activate; RebootWindows(True); end. Geändert von Rene-gad (23.04.2007 um 15:43 Uhr) Grund: TNX an [Gc]Sunny !!! |
23.04.2007, 15:36 | #3 | |
Administrator > Competence Manager | Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? ZUsätzlich noch folgende Datei aus dieser Zeile auswerten...
__________________Zitat:
Sunny
__________________ |
23.04.2007, 18:12 | #4 | ||
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo, vielen Dank zuerst für Eure schnellen Antworten. Ich hoffe ich hab alle Hausaufgaben erledigt... Die Datei vom Norman war C:\windows\winlogon32.dll Zu C:\APO\IOMINISV.EXE dieses Programm kenne ich. Die drei Fixes im HJT und dann AVZ wie angegeben habe ich ausgeführt. Hier das neue HJT Log: Zitat:
::::: VirusTotal ::::: Einen Escan hatte ich vorher auch noch mit folgendem Ergebnis durchgeführt: Zitat:
...Leider läuft der Rechner nur noch im abgesicherten Modus. Ist noch was zu retten? Herzliche Grüße aus Berlin Robert |
23.04.2007, 18:20 | #5 | |
Administrator > Competence Manager | Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Das Hijacklog sieht schon ganz gut aus, aber ein paar Dateien scheinen da immer noch zu sein. Mach daher folgendes: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles üb erprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
24.04.2007, 10:12 | #7 |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo und guten Morgen, vielen herzlichen Dank Sunny für Deine schnelle Antwort, aber ich hatte gestern einfach kein Bock mehr auf Computer... ... neuer Tag neues Glück. Der Rechner startet auch wieder im normalen Modus. Aber: der IE startet automatisch und ruft "merkwürdige Seiten" auf... Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ Habe jetzt wie empfohlen die Systemwiederherstellung ausgeschaltet und lasse nun Norman über die Platte flitzen. Melde mich sobald er fertig ist. Soll ich dann den Avenger benutzen? Vielen Dank nochmal! Herzliche Grüße Robert |
24.04.2007, 10:23 | #8 | |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?Zitat:
2. Führe im AVZ den Script aus: Code:
ATTFilter begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\windows\winlogon32.dll'); BC_DeleteFile('C:\windows\winlogon32.dll'); ExecuteSysClean; BC_Activate; RebootWindows(True); end. BTW: Seit gestern ist das Englische Unterforum bei Virusinfo.Info-Alma-Mater des AVZ-Tools eröffnet |
24.04.2007, 10:42 | #9 | |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo, 1. Ich habe hier eine Zehnplatz-Lizenz von Norman im Einsatz und war bisher eigentlich auch ganz zufrieden. Aber vor kurzem war wohl Norman wegen Installationsarbeiten abgeschaltet und ist anschließend nicht wieder aktiviert worden. Nachdem die Kollegin ein bischen gegoogelt hat ... ... den Rest kennt ihr. :-( 2. Habe ich ausgeführt. 3. HJTLogfile: Zitat:
Herzliche Grüße aus Berlin Robert |
24.04.2007, 10:49 | #10 |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? @Bilch Der letzte Log sieht sauber aus. Wenn es keine Meldungen von Norman mehr gibt, kann man von einer Bereinigung sprechen . Zur Sicherheit: 1. Lade AdAware+Spybot Search & Destroy herunter, updaten, scannen, Probleme beheben 2. http://www.trojaner-board.de/38066-e...ightymarc.html . Bei Funden den Log (Find.bat bitte verwenden!!!) posten. |
24.04.2007, 11:23 | #11 | |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo, das wäre ja auch zu schön um wahr zu sein... ... als AdAware lief schlug Norman wieder mit der gleichen Meldung an. habe HJT erneut laufen lassen mit folgendem Protokoll: Zitat:
Danke Gruß Robert |
24.04.2007, 11:57 | #12 | ||
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Da gebe ich dir recht. Zitat:
Zitat:
EDIT: Schalte Norman On-Access-Scanner aus!!! 1. Starte AVZ 2. Services/File search 3. Links LW C:\ anhaken 4. Im Feld File Name or mask Code:
ATTFilter C:\WINDOWS\winlogon32.exe 5. Icon Copy to Quarantine drücken Im AVZ-Verzeichnis findest du den Unterordner Quarantine/2007-04-24. Inhalt dessen in eine ZIP-Datei verpacken und bei www.virustotal.com überprüfen. Protokoll inkl. MD-Prüfsumme-Daten posten. EDIT: Schalte Norman On-Access-Scanner ein!!! PS: Entweder haben zum Internet angeschlossenen PCs keinen aktuellen Sicherheits-Stand (Microsoft Windows Update) oder... PS2: Im Zweifelsfall melde dich bei VirusInfo.Info an: Dort werden die speziellen AVZ-Logs geprüft, die viel tiefer greifen, als HJT. Über TB kann ich leider nichts tun, denn die Logs an Virusinfo-Server hochgeladen werden müssen. Geändert von Rene-gad (24.04.2007 um 12:06 Uhr) |
24.04.2007, 12:58 | #13 | |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo, Danke für Deine schnelle Antwort, ja es handelt sich um ein Netzwerk mit zehn Rechnern. Alle sind aber auf aktuellem Stand. Kein anderer Scanner hat bisher angeschlagen. Hier das Virustotal Ergebnis: Zitat:
Ansonsten hier der Link: ::::: VirusTotal ::::: Über Deine PS möchte ich lieber noch nicht nachdenken. Sollte ich den Rechner doch lieber neu aufsetzen? Sorgenvolle Grüße Robert |
24.04.2007, 13:06 | #14 | ||
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? @Bilch Zitat:
Versuche noch mit AVZ die Datei zu löschen (als Schritt 5 - Fund(e) anhaken und das Icon Delete Selected ... drücken) Zitat:
Geändert von Rene-gad (24.04.2007 um 13:16 Uhr) |
24.04.2007, 13:29 | #15 |
| Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? Hallo, das Löschen über AVZ hat leider keinen Erfolg gebracht, Norman hat die Datei wiedergefunden... Werde den Rechner wohl doch neu aufsetzen und mal die anderen checken. Vielleicht habe ich ja Glück und sie sind noch nicht befallen. Vielen Dank schon mal für alles, werde mich aber in Kürze melden, wie es ausgegangen ist. Herzliche Grüße aus Berlin Robert |
Themen zu Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? |
adobe, bho, defense, excel, explorer, hijack, hijackthis, html, internet, internet explorer, log-file, logfile, messenger, microsoft, norman, programme, refresh, seite, software, system, system32, trojaner, virus, windows, windows xp, winlogon |