McAfee meldet einen Trojaner Generic.dw, der aber weder in Quarantäne gestellt noch entfernt werden kann. Habe auch über den abgesicherten Modus versucht ihn zu entfernen, wieder ohne Erfolg.

Kann mir jemand sagen, ob der Trojaner überhaupt gefährlich ist und wenn ja, wie man ihn entfernen kann?

Vielen Dank im voraus für ne Info

Zitat:

Zitat von madsen2006

McAfee meldet einen Trojaner Generic.dw

Schön :aplaus: Wo? Was für ein Betriebssystem? http://www.trojaner-board.de/17493-a...ijackthis.html

sorry! Nun etwas genauer: McAfee meldet: Entdeckung: Generic.dw (Trojaner)
Dateipfad: C:\WINDOWS\SYSTEM32\ITDRIVER.EXE
Ich arbeite mit WindowsXP. Habe HiJack versucht, aber die Meldung kommt nach wie vor.

Besten Dank nochmals

Zitat:

Zitat von madsen2006

Habe HiJack versucht, aber die Meldung kommt nach wie vor.

Du musst nix versuchen, sondern die verlinkte Anleitung lesen und danach den HJT-Log posten,

Hallo Rene-gad,

habe natürlich das Logfile bei HIJack überprüfen lassen inkl. gefixt und alles drum und dran, sorry für meine laienhafte Ausdrucksweise.

Hast du noch ne Idee?

Dankeschön

Zitat:

Zitat von madsen2006

habe natürlich das Logfile bei HIJack überprüfen lassen

Hat jemand dir das empfohlen? Die automatische Auswertung muss man mit dem großen Vorsicht genießen.

nein, du hast es nicht verstanden.
Du solltest nichts auswerten lassen, nichts fixen, sondern nur ein Log erstellen und das hier entsprechend der Anleitung (!) posten.
Nicht mehr und nicht weniger.

EDIT: Da war jemand schneller.

ok, ok, zu meiner Verteidigung muß ich sagen, dass ich das meinem Mann überlassen habe, wußte nicht, dass das nicht so in eurer Anleitung stand (schäm, schäm) Werde also nun peinlichst genau eure Anleitung selbst lesen und hoffe es besser zu machen ;-)

So, hier also das Logfile... Viel Spaß und danke! ;-)

Logfile of HijackThis v1.99.1
Scan saved at 14:52:19, on 17.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\itdriver.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\PROGRA~1\McAfee\MPS\mps.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MPS\mpsevh.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\McAfee\MSK\MskAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sya\Lokale Einstellungen\Temp\wze9ac\HijackThis.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
F1 - win.ini: load=c:\01comm32\bin\01comm32.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptcl.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.3558\swg.dll
O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\programme\mcafee\mps\mcpopup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MskAgentexe] C:\Programme\McAfee\MSK\MskAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hardware Clock Driver (hwclock) - Conexant - (no file)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Windows InstallShield Driver (InstallShield) - Unknown owner - C:\WINDOWS\system32\itdriver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\sysdat.exe (file missing)

Hi,
schlechte Nachrichten für dich.

Und ehrlich gesagt hättest, sogar du es finden können, der Bösewicht nennt sich nämlich selbst virus :

Zitat:

O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\sysdat.exe

Das Ding ist leider ein ziemlicher Happen:

Zitat:

Zitat von sophos

* Allows others to access the computer
* Steals information
* Drops more malware
* Downloads code from the internet
* Reduces system security
* Installs itself in the Registry
* Exploits system or software vulnerabilities
* Used in DOS attacks

quelle

Dir bleibt leider nur ein Neuaufsetzen. Ich würde dir außerdem empfehlen, die Passwörter nach dem Neuaufsetzen zu wechseln.

(Es sind noch weitere mir unbekannte Einträge in deinem Log, allerdings habe ich die dann nicht mehr nachgeschlagen.)
lg myrtille

Zitat:

Zitat von myrtille

schlechte Nachrichten für dich.

Bei dem System das war zu erwarten:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Hi,

nochmal ne wahrscheinlich blöde Frage...woran kann ich denn sehen, dass es sich hier um den w32/tilebot-L handelt? McAffee meldet mir ja immer den Generic.dw.....oder hat der eine mit dem anderen nichts zu tun und McAffee hat den gar nicht entdeckt?

Fragen über fragen...

Danke euch

Zitat:

Zitat von madsen2006

...woran kann ich denn sehen, dass es sich hier um den w32/tilebot-L handelt?

Das zu sehen ist ausschließlich den Google-Benutzern erlaubt: CastleCops® change me please (VIRUS) sysdat.exe
Für die anderen, die nur lesen können, hat myrtille auch einen Link quelle in seinen Posting eingefügt: http://www.trojaner-board.de/274224-post10.html

deiner wieder mal charmanten Antwort zu entnehmen haben die beiden wohl nichts miteinander zu tun, richtig?

Dann werde ich mich mal im Neuaufsetzen probieren....

Zitat:

Zitat von madsen2006

deiner wieder mal charmanten Antwort zu entnehmen haben die beiden wohl nichts miteinander zu tun, richtig?

Natürlich nicht: im ersten geht es um W32/Tilebot-L und im zweiten - um W32/Tilebot-L :aplaus: