Hallo alle zusammen,

ich habe heute die Virenwarnmeldung von meinen AVG-Virenscanner
erhalten, dass ich den PSW.Generic4.SID Trojaner auf meinen
Rechner habe , den auch AVG gelöscht hat.

Danach habe ich eine SpyBot Prüfung gemacht und war bei hijackthis -
alles okay soweit. Seitdem bekomme ich keine Virenwarnmeldung mehr.

Da ich aber sicher gehen wollte, habe ich im Internet nochmal nach weiteren
Informationen über diesen Trojaner nachgeschaut und bin dabei auf dieses
Forum gestoßen - ich habe hier einige Einträge über diesen Trojaner gefunden - bei allen tauchte dieser Trojaner wieder auf.

Meine Frage: kann es jetzt sein, dass dieser Trojaner immer noch auf
meinen Rechner ist? Ich habe halt ein bisschen Angst, da ich meinen
Rechner auch für die Arbeit nutze...

Ich danke Euch jetzt schon mal für Eure Hilfe,

Liebe Grüße,

Corinna

Hallo,

*mal meine Glaskugel reib*

Schwer zu sagen,aber eventuell bist du vor größeren Schäden bewahrt worden.
Genauer als meine Glaskugel, könnte die Pfadangabe deines Fundes sein...
Auch ein Logfile von "Hijackthis" würde mehr Aufschluß als meine Kugel liefern...
Im Antivirenprogramm nachsehen,wegen der Pfadangabe.

In der FAQ Sektion wegen HijackThis nachforschen...
Irrlicht

Hallo,

vielen lieben Dank für deine Antwort!
Und: sorry, dass ich mich erst jetzt melde - danke für die Glaskugel,
sorry, bin zum ersten Mal auf diesem Forum - soll ich meinen Log von
hijack hier rein posten?

Vielen lieben Dank schon mal für deine erste Hilfe:-)

Gruß Corinna

Hallo,

Zitat:

soll ich meinen Log von
hijack hier rein posten?

So hatte ich mir das gedacht....:aplaus:
Irrlicht

Hallo,

hier ist mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:27:17, on 14.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Dokumente und Einstellungen\admin\Startmenü\Programme\security_place\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WebFile.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\System32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe AcPro7_0_0
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {840C1513-4787-4525-BB84-4C708E164D3F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {840C1513-4787-4525-BB84-4C708E164D3F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{99BE1238-388C-4428-8618-FF453F006A32}: NameServer = 192.168.100.254
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Zetera - Zetera Corporation - C:\Programme\NETGEAR\SC101 Manager Utility\ZeteraService.exe

Und hier der Pfad, wo AVG den Trojaner gestern entdeckt hat:

C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\dllcache\iexplore.exe

- beide wurde als Trojan horse PSW.Generic4.SID erkannt

Ich habe den ganzen Tag gescannt - bis dato war alles okay und ich
keine neuen Warnmeldungen mehr bekommen.

Vielen lieben Dank für deine Mühe!

Gruß Corinna

Hi,
lade die bemängelten Dateien vielleicht mal bei virustotal hoch.
Wenn die Dateien nur von AVG als Trojaner erkannt werden, würde ich ebenfalls auf Fehlalarm tippen.

lg myrtille

Huhu,

danke für deinen Tipp! Ich war gerade beim Kaspersky Online
Scan - alle bemängelten Dateien sind okay, bei virustotal war ich auch.

Wahrscheinlich ist es wirklich eine Fehlermeldung gewesen -
benutze den Internet Explorer eh´ nicht.

Vielen Dank schon mal, ich hoffe, dass mein LapTop jetzt clean
ist und ich in Ruhe mein Diplom weiterschreiben kann....

Liebe Grüße,

Corinna

Hallo "Irrlicht",

ich habe eine Frage zu euren goldenen Regeln:
Ist mein Log von hijack zu groß? Muss ich diesen kürzen, oder
ist das ok, wie ich diesen hier reingestellt habe?

Ich will nur alles richtig machen, um Euch nicht umsonst auf
den Keks zu gehen...:-)

Liebe Grüße,

Corinna

Hallo,
wenn ich so direkt gefragt werde.....
Wäre dein Log nicht nach unseren Regeln gewesen,hättest du es im "Mülleimer" wiedergefunden...
Da kennt der "GUA" keine Gnade...:aplaus:
Also hast du alles richtig gemacht... denn dein Log ist ja noch da....

ABER....
diesen > gibt es dafür :

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

Das Service Pack 2 gibt es seit rund 2 Jahren...
Warum ist das nicht bei dir eingespielt ? Oder als CD drauf gemacht ?
Dir fehlen sehr sehr wichtige Sicherheitsupdates..
Auf dieser unsicheren Kiste würde ich im Leben nie nicht eine Diplomarbeit schreiben müssen......
Die ständigen Schweißausbrüche vor lauter Angst,würden mich keinen klaren Gedanken fassen lassen....

Diesen > gibt es dafür :

Zitat:

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {840C1513-4787-4525-BB84-4C708E164D3F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Dieses XP Antispy halte ich für höchst fragwürdig,teilweise paranoid und vor allem überflüssig...
Ich würde das Programm aufrufen und feststellen ob es einen Button für "alles auf Ursprung zurückstellen" gibt und dann das Programm löschen...
Das ist allerdings meine persönliche Meinung......
Irrlicht

Mfff... hast ja recht, der Trojaner hat mir gestern gezeigt, wie unsicher
mein System ist... ich weiß... okay, noch eine blöde Frage an Dich, als
unwissendes Ding: Service Pack2 kann einfach bei Windows downgeloadet
werden? Und welche Firewall würdest Du mir empfehlen? Ich arbeite jetzt
seit 2 Jahren mit der kostenlosen Variante Zone Labs.

Ach ja: XP Antispy ist jetzt von meinen System entfernt - ich hatte damals
damit den Messenger ausgeschaltet.

Liebe Grüße,

Co-rinna:-)

Hallo,

Zitat:

Service Pack2 kann einfach bei Windows downgeloadet
werden?

Jep...klingt einfach,ist aber so...
Bei einer DSL Leitung und einer Flatrate,gar kein Problem.
Klicken und Kaffee trinken,solange die Kiste schuftet.
Dann hat sich auch das mit der Firewall erledigt...
Das SP 2 hat eine von Haus aus dabei....
Die ist so gut wie jede andere Desktopfirewall........
Wenn du mit der Zone Alarm zurecht kommst...gut....
Du wirst dann in der unteren blauen Leiste den Microsoft Security Center als Symbol finden.Wenn du da klickst,kannst du die Windowseigene Firewall ausschalten.
Ich glaube aber mich zu erinnern das Zone Alarm das auch von sich aus schon macht....aber ohne Gewähr...ich verwende sowas nicht..
Zumindest sind zwei Firewalls ,eine zuviel...
Das ist wie mit zwei Mädels die sich um einen Mann streiten >>>Zickenkrieg halt...
Irrlicht

Yep - verstehe Zickenkrieg auf meinen Rechner ist angesagt - klingt spannend:-) Mir ist lieber es bekämpfen sich zwei Firewalls als Trojaner...

Hey, super herzlichen Dank für deine tolle Hilfe! Dann werde ich jetzt mal meine Diplomarbeite zur Seite legen und nen Kaffee trinken, während ich Service Pack 2 installiere:-) Hast Du eigentlich jeden Tag hier mit sovielen "DAU´s", wie ich es bin, zu kämpfen?

Liebe Grüße von Corinna mit dem Zickenrechner:-)

Hallo,

Zitat:

Hast Du eigentlich jeden Tag hier mit sovielen "DAU´s", wie ich es bin, zu kämpfen?

Nööö ,woher denn ...

Ps.
Solch eine Diplomarbeit macht doch richtig Arbeit,nicht wahr ?
Wäre doch schade wenn die im Datennirwana verschinden würde,nicht wahr ?
Um das zu verhindern,speicherst du die Arbeit auf einer CD oder auf einer externen Festplatte ,nicht wahr ?
Eigentlich machst du das immer,aber besonders dann, wenn du größere Veränderungen,wie sie das SP 2 darstellt ,aufspielst,nicht wahr ?
Nicht das ich dich jetzt verunsichern will,aber erst Datensicherung,dann SP 2 !!
Normalerweise wird nix passieren ,was deiner Arbeit schadet....
Aber "der Teufel ist ein Eichhörnchen"......
Irrlicht,
der jetzt Heia macht,damit er morgen wieder "Dau-tauglich" ist

Ja klar - ist alles auf meiner Festplatte gesichert + Spieglung über Ghost!

Na dann - wünsche ich Dir eine Gute Nacht - krieg´ keine "DAU-Alpträume"
:-) Ich kämpfe dann noch ein bisschen an der Service Pack 2 Front.

Bis bald,

Liebe Grüße,

Corinna