Hilfe gegenTrojanisches Pferd !?!?
Bin leider kein Computerprofi, aber mein Sohn hat beim Versuch, ein online-Spiel runterzuladen bzw. sich auf irgendeinem Server anzumelden, ein Trojanisches Pferd mit erwischt, welches der Viren-Scanner erkannt hat.
Unser Betriebssystem ist windows xp home edition, wir haben netowrk associates virus scan und Spyware doctor auf dem Rechner.
Der Virusscanner zeigt folgendes an:
Pfad: C:\Dokumente\user\Desktop\Moritz\Games\X-Perience\engine.de
Erkannt als: New Malware.aj
Status. fehlgeschlagen, da die Datei nicht gesäubert werden kann
Ich wäre für konkrete, verständliche Hilfe sehr dankbar. Falls möglich würde ich lieber nicht das Betriebssystem neu installieren.
Danke im voraus, Beate.

Um vollkommen sicher zu gehen solltest du windows neu machen und dannach sofort alle passwörter von homepages auf denen du warst und email addy usw ändern wennde glück hast ist es noch net zu spät.
allerdings wenn das av prog tatsächlich den trojaner gefunden hat kann es sein das du glück hattest und noch nichts passiert ist. wenn es wirklich ein backdoor war würde ich trotzdem neu machen ist das sicherste

Hi,
sufffer bitte ignorieren der spammt nur.

Erstell als erstes ein Hijackthislog, Anleitung findet sich im Unterforum Anleitungen und FAQ.

Da es sich um eine heuristische Erkennung/um Erkennung einer unbekannten Malware handelt, kann es sich durchaus um einen Fehlalarm handeln.
Lade die Datei daher bitte auch bei virustotal hoch und poste das Ergebnis der gesamten Auswertung (mit MD5 etc) hier.

lg myrtille

habe noch Fragen:
a. alle links im log-file ersetzen?
b. kann ich den im Virus-Scan angegebenen Ordner (ganzer Ordner, nicht einzelne Datei) ohne Bedenken in virustotal "Öffnen"?
Danke.

Hi
Zu 1)
Ja bitte alle Links ersetzen: zb www durch *** oder http durch h**p.
Zu 2)
Ist engine.de ein Ordner? Bei virustotal kann man meines Wissens nur Dateien hochladen.

lg myrtille

Guten Morgen,
Danke für die Antwort.
Mein Problem war, dass ich engine.exe im angegebenen Pfad nicht gefunden habe. Hatte gestern keine Zeit mehr. Habe es jetzt unter C:\quarantine gefunden als engine.exe.Vir. Kann man das einfach auch so entfernen? Doch in Virustotal hoahladen? (Hab Schiss).
Zudem habe ich noch weitere Dateien mit engine.exe von gestern gefunden, sowohl in C:\windows\prefetch als auch in C:\dokumente und einstellungen. Was mach ich mit denen?
Vielen, vielen Dank, Gruß, Beate.

Ich werde noch irre.
Das HTJ-log will dieses Programm nicht als Anhang, datei sei ungültig?!?
Wenn ich die engine.exe im virustotal hochlade, zeigt es mir nur einen Satz: bytes received/ Se ah recibido un archivo vacio, will wohl meinen, Datei leer?
Kann diese Seite auch nicht irgendwie speichern oder verschieben.
Die Datei unter Dokumente und Einstellungen ist in dem gleichen Ordner wie die erkannte Datei als update.zip bezeichnet, der Versuch, sie über virustotal hochzuladen, hat ewig gedauert und sich dann aufgehängt.
Dummerweise habe ich überhaupt keine Zeit heute und weiß nicht so recht, wie jetzt weiter. Muss gleich bis morgen Abend weg. PC anlassen?
Bitte um kurze Rückmaldung, Danke.

Hallo BeatSch,

ich glaube, Du kannst den PC ruhig ausmachen. Auf jeden Fall sollte solange keine Internetverbindung bestehen.

Was meinst Du mit: "Das HTJ-log will dieses Programm nicht als Anhang, datei sei ungültig?!?"
Du sollst dem HJT-Log nichts anhängen, sondern den Inhalt (die Schrift) der log-Datei, die HJT nach dem Scan erstellt, von Hand kopieren und hier wieder einfügen.
Hast Du versucht, die engine.exe oder die engine.exe.Vir hochzuladen?

Hallo, bitte um erneuten Versuch das Problem anzugehen.
Auch mit Suchprogramm ist engine.exe nicht zu finden, nur engine.exe.Vir, dieses hatte ich in virustotal hochgeladen mit bekanntem Textergebnis.
Hier jetzt das HTJ-log:
Logfile of HijackThis v1.99.1
Scan saved at 18:32:13, on 04.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***p://gxxxxxxxx.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svhost.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{C16DA5A8-27CA-4942-85E9-7B723F3EA320}: NameServer = 194.25.2.129
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

Hi,
das Log sieht nicht gut aus.
Erstelle bitte ein Kopie der Datei engine.exe.Vir auf deinem Desktop und lade diese dann bei Virustotal hoch.
Werte bitte folgende Datei (!Der Dateiname muss genau identisch sein!) auch bei virustotal aus: C:\WINDOWS\system32\svhost.exe

Meinen ersten Eindruck eines Fehlalarms muss ich leider widerrufen. Ob eine Bereinigung sinnvoll ist, wird sich zeigen, wenn ich weiß worum es sich genau handelt. Ich befürchte allerdings einen Befall mit sdbot.

lg myrtille

Hallo,

habe die angegebene Datei bei virustotal eingegeben, folgende Meldung:
0 bytes size received / Se ha recibido un archivo vacio.
Beim Durchsuchen finde ich allerdings keine genau gleichlautende Datei, sondern nur C:\WINDOWS\system32\svchost

engine.exe.Vir lässt sich nicht auf den Desktop kopieren, Zugriff wird verweigert, ich soll sicherstellen, ob Datei nicht schreibgeschützt bzw. gerade verwendet wird.
Was tun?