Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


Log-Analyse und Auswertung: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.04.2007, 14:49   #1
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


Hallo liebe Computerexperten,

ich hab ein Problem. An meinem relativ neuem HP-Rechner meldet Norman die im Titel genannte Infektion in der winlogon32.dll.
Hier mein HJT Log-File:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:59:50, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Apo\Iominisv.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\APO\IODLL\PRNSERV.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42382910.dll
O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mops.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
Was kann ich tun?
Wie bin ich zu dieser Software gekommen?
Über eine Hilfe würde ich mich sehr freuen.

Herzliche Grüße aus Berlin
Robert

Alt 23.04.2007, 15:11   #2
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


@Bilch
EDIT: Bitte Pfadangaben komplett eingeben
Zitat:
LW:\???????\??????\winlogon32.dll
Kennst du dieses Programm?
Zitat:
C:\APO\IOMINISV.EXE
Wenn nein - bitte die Datei bei www.virustotal.com auswerten, Protokoll inkl. MD-Prüfsumme hier posten.
Fixe mit HiJackThis
Zitat:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42382910.dll
O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mops.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
Lade mal das Tool herunter,
entpacke in einen Nicht-Temp-Ordner, starte AVZ.EXE, File/On-Line automatic Update/Start. Dann File/Custom Scripts, kopiere die folgenden Zeilen ins Fenster
Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ipv6mops.dll');
 DeleteFile('C:\WINDOWS\42382910.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ipv6mops.dll');
 BC_DeleteFile('C:\WINDOWS\42382910.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(True);
end.
und drücke auf Run, Nach dem Reboot erstelle den neuen HJT-Log.
__________________

Geändert von Rene-gad (23.04.2007 um 15:43 Uhr) Grund: TNX an [Gc]Sunny !!!

Alt 23.04.2007, 15:36   #3
Sunny
Administrator
> Competence Manager
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


ZUsätzlich noch folgende Datei aus dieser Zeile auswerten...

Zitat:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\WINDOWS\42382910.dll
...und das Ergebnis, wie Rene-gad beschrieben hat, hier im Beitrag mit einfügen.

Sunny
__________________
__________________
Alt 23.04.2007, 18:12   #4
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


Hallo,
vielen Dank zuerst für Eure schnellen Antworten. Ich hoffe ich hab alle Hausaufgaben erledigt...
Die Datei vom Norman war C:\windows\winlogon32.dll
Zu C:\APO\IOMINISV.EXE dieses Programm kenne ich.

Die drei Fixes im HJT und dann AVZ wie angegeben habe ich ausgeführt.
Hier das neue HJT Log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:49:48, on 23.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programme\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programme\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Miniserver.lnk = C:\APO\IOMINISV.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{61AF4D21-EDB1-4781-AC9D-D2C9B729AC75}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
@sunny: Das mit dem Virustotal hat etwas gedauert und ich verstehe nicht so genau, was ich Euch hier antworten soll. Es ist aber was gefunden worden, vielleicht hilft Euch der Link zum Ergebnis:
::::: VirusTotal :::::

Einen Escan hatte ich vorher auch noch mit folgendem Ergebnis durchgeführt:
Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Mon Apr 23 16:28:57 2007 => Virus-Datenbank Datum: 4/23/2007
Mon Apr 23 17:01:20 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:15 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:39 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:30:48 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:04 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:19 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:31:43 2007 => Datei C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:35:39 2007 => Datei C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\spoolsv32.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002320.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002332.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:52:47 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP36\A0002339.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:54:05 2007 => Datei C:\WINDOWS\42382910.dll infiziert von "Trojan-Clicker.Win32.Agent.hz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:27 2007 => Datei C:\WINDOWS\system32\ipv6mops.dll infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:58:45 2007 => Datei C:\WINDOWS\system32\pefhvioc.exe infiziert von "Trojan-Spy.Win32.BZub.in" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 16:59:10 2007 => Datei C:\WINDOWS\winlogon32.dll infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Mon Apr 23 17:01:20 2007 => Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 23 16:31:42 2007 => File C:\DOKUME~1\Apotheke\LOKALE~1\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:31:59 2007 => Datei C:\APO\ALT\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:32:42 2007 => Datei C:\APO\ALT\IOUPD.EXE//WISE0296.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:33:21 2007 => Datei C:\APO\IODLL\iochip32.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:35:38 2007 => File C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\pa_0265.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:Dialer.Win32.Agent.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 16:51:02 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001263.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:46 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001361.EXE//WISE0282.BIN markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:51:50 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001468.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
Mon Apr 23 16:52:07 2007 => Datei C:\System Volume Information\_restore{A3363D93-CFEB-48A1-BABD-E813B7FA5615}\RP24\A0001748.dll markiert als not-a-virus:PSWTool.Win32.OpenPass.b. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:36 2007 => Executable Command Found in D\Shell\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:31:40 2007 => C:\DOKUME~1\Apotheke\LOKALE~1\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
Mon Apr 23 16:35:36 2007 => C:\Dokumente und Einstellungen\Apotheke\Lokale Einstellungen\Temp\gtb23A.tmp.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\i386\HOSTS:
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 17:01:20 2007 => Gescannte Dateien: 59047
Mon Apr 23 17:01:20 2007 => Gefundene Viren: 25
Mon Apr 23 17:01:20 2007 => Anzahl der desinfizierten Dateien: 0
Mon Apr 23 17:01:20 2007 => Umbenannte Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl der gelöschten Dateien: 0
Mon Apr 23 17:01:20 2007 => Anzahl Fehler: 24
Mon Apr 23 17:01:20 2007 => Dauer des Scans bisher: 00:31:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 16:30:08 2007 => Specherüberprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Registry Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 23 16:30:08 2007 => Überprüfung aller Festplatten :Aktiviert
So...
...Leider läuft der Rechner nur noch im abgesicherten Modus.
Ist noch was zu retten?

Herzliche Grüße aus Berlin
Robert

Alt 23.04.2007, 18:20   #5
Sunny
Administrator
> Competence Manager
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Ausrufezeichen

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


Das Hijacklog sieht schon ganz gut aus, aber ein paar Dateien scheinen da immer noch zu sein.

Mach daher folgendes:


Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles üb erprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)



Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\42382910.dll
C:\WINDOWS\system32\ipv6mops.dll
C:\WINDOWS\winlogon32.dll
C:\WINDOWS\system32\pefhvioc.exe
C:\DOKUME~1\Apotheke\LOKALE~1\Temp\spoolsv32.exe
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Sunny

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 23.04.2007, 18:22   #6
Rene-gad
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


Zitat:
Zitat von Bilch Beitrag anzeigen
...Leider läuft der Rechner nur noch im abgesicherten Modus.
Bekommst du eine Fehlermeldung, wenn du im Normalmodus starten willst? Wenn Ja - welche?
Versuche im AVZ File/System Recovery zu starten.

Alt 24.04.2007, 10:12   #7
Bilch
 
Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Standard

Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


Hallo und guten Morgen,
vielen herzlichen Dank Sunny für Deine schnelle Antwort, aber ich hatte gestern einfach kein Bock mehr auf Computer...
... neuer Tag neues Glück.
Der Rechner startet auch wieder im normalen Modus.
Aber: der IE startet automatisch und ruft "merkwürdige Seiten" auf...
Norman schlägt permanent Alarm wegen C:\windows\winlogon32.dll W32/Smalltroj.GBNQ
Habe jetzt wie empfohlen die Systemwiederherstellung ausgeschaltet und lasse nun Norman über die Platte flitzen.
Melde mich sobald er fertig ist.
Soll ich dann den Avenger benutzen?
Vielen Dank nochmal!
Herzliche Grüße
Robert

Antwort

Themen zu Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?
adobe, bho, defense, excel, explorer, hijack, hijackthis, html, internet, internet explorer, log-file, logfile, messenger, microsoft, norman, programme, refresh, seite, software, system, system32, trojaner, virus, windows, windows xp, winlogon


« Hängt immer :/ | Trojaner: WORM/Surila.X gefunden /hijackthisprotokoll »


Ähnliche Themen: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?


  1. svchost Trojaner. Wie werde ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (27)
  2. Wie werde ich den Bundespolizei Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2012 (4)
  3. Wie werde ich den GVU-Trojaner los
    Plagegeister aller Art und deren Bekämpfung - 06.10.2012 (14)
  4. Wie werde ich GVU Trojaner wieder los???
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (2)
  5. BKA Trojaner – wie werde ich ihn los?
    Log-Analyse und Auswertung - 29.09.2011 (21)
  6. Wie werde ich meinen Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2010 (1)
  7. werde die trojaner nicht los....
    Log-Analyse und Auswertung - 21.01.2009 (0)
  8. Trojaner...wie werde ich sie los?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2008 (0)
  9. TR/Smalltroj.ELLI
    Log-Analyse und Auswertung - 31.08.2008 (1)
  10. Wie werde ich Trojaner los??
    Plagegeister aller Art und deren Bekämpfung - 31.07.2008 (14)
  11. Trojaner? Wie werde ich das wieder los?
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (6)
  12. Werde Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 25.04.2007 (16)
  13. Trojaner TR/VB.aqt.1 wie werde ich ihn los?
    Log-Analyse und Auswertung - 14.04.2007 (19)
  14. wie werde ich den trojaner vom pc los?
    Antiviren-, Firewall- und andere Schutzprogramme - 14.02.2006 (1)
  15. wie werde ich Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 16.10.2005 (1)
  16. Trojaner jaaste.dll - Wie werde ich ihn los?
    Log-Analyse und Auswertung - 23.07.2005 (3)
  17. werde den trojaner net los
    Log-Analyse und Auswertung - 08.04.2005 (13)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? - Hallo liebe Computerexperten, ich hab ein Problem. An meinem relativ neuem HP-Rechner meldet Norman die im Titel genannte Infektion in der winlogon32.dll. Hier mein HJT Log-File: Zitat: Logfile of HijackThis - Wie werde ich den Trojaner W32/Smalltroj.GBNQ los?...
Archiv
Du betrachtest: Wie werde ich den Trojaner W32/Smalltroj.GBNQ los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131