Hallo zusammen,

ich habe nach einem kompletten Systemscan mit Avira Antivirus 2 Funde gemeldet bekommen:

download_getright_setup.exe ist das trojanische Pferd TR/Dloader.gcgk und

...\anwendungsdaten\sun\java\deployment\cache\javapi\v1.0\jar\... enthält Erkennungsmuster des Exploits exp/java.gimsh.a.19.

Bei der ersten Datei habe ich den Verdacht, dass es sich hier um falschen Alarm handelt, denn die Setupdatei hatte ich eigentlich aus vertrauenswürdiger Quelle. Ich habe die damit installierte Version von Getright auch immer noch in Benutzung.

Kann mir jemand sagen, ob und was ich mir da eingefangen habe? Ist es mit einfachem Löschen der Dateien getan?

Ich hoffe sehr, dass mir jemand weiterhelfen kann.

Hallo,

poste bitte ein HijackThis Logfile, vergiss aber nicht alle aktiven Links unkenntlich zu machen!

mfg

Hier das Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:09, on 01.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\STAMPIT\Binary\Stray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://sedoparking.com/domparking.php?id=827484&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: (no name) - {982E186D-7E13-45ac-9789-50B535246E28} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\Binary\Stray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Quicken 2007 Zahlungserinnerung.lnk = C:\Programme\Quicken2007\billmind.exe
O4 - Global Startup: Quicken 2008 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2008\billmind.exe
O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2009\billmind.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - hxxp://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159452991625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159523676453
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10499 bytes

So, das Log ist an sich sauber.
Das solltest du aber fixen:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://sedoparking.com/domparking.php?id=827484&q=%s

Dazu auf "do a system scan only" klicken => Häkchen bei entspr. Eintrag setzen => auf "fix checked" klicken => Rechner neustarten

Zitat:

C:\Programme\Java\jre1.5.0_09\bin\ssv.dll

Deine Java ist steinalt, du solltest unbedingt die neueste Javaversion von Sun installieren, davor aber die Alten über Systemsteuerung => Software deinstallieren.

Zitat:

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

Das gilt auch für den Adobe Reader, der neueste ist die Version 9.0.
Derartige veraltete Software sind Sicherheitslücken, dadurch kannst du dir Malware via Drive-by-Download einfangen.

Wenn du einen Router hast, benötigst du keine softwarebasierende Firewall, schon garnicht ZoneAlarm.
Ansonsten reicht die XP eigene Firewall vollkommen aus.

mfg

Edit:Folge mal der Anleitung für MalwareBytes, Link in meiner Signatur.

Vielen Dank für die superschnelle Hilfe!

Ich werde die Empfehlungen auch sofort umsetzen.

Ich muss aber trotzdem nochmal nachfragen, weil ich mit der Thematik Malware nicht ganz so vertraut bin.

Kann ich also davon ausgehen, dass mein System sauber ist?

Und waren die beiden Funde dann falscher Alarm?

Und zuletzt: sollte ich die beiden Dateien (momentan in Quarantäne) sicherheitshalber löschen?

Sorry für die vielen Nachfragen!

Zitat:

Kann ich also davon ausgehen, dass mein System sauber ist?

Anhand des HijackThis Logfiles bist du clean, aber es gibt auch Malware der besonderen Art, die sich vor dem Programm verstecken.
Wenn Malwarebytes nichts findet, bist du zu 99% sauber, danach folgt noch ein Scan und wenn der wiederum nichts findet, bist du sauber.

Zitat:

Und waren die beiden Funde dann falscher Alarm?

Ist möglich.

Zitat:

Und zuletzt: sollte ich die beiden Dateien (momentan in Quarantäne) sicherheitshalber löschen?

Nein, bitte nicht. Sende Avira die zwei Dateien mit dem Betreff "Verdacht auf Fehlalarm" (Wichtig!) => Link

mfg

Sorry, noch eine Nachfrage zum abschließenden Virenscan: reicht es, wenn ich mich ganz normal in Windows anmelde und dann mit Antivir scanne oder muss ich von einer Boot-CD aus starten (welche ich dann allerdings erst noch erstellen müsste)?

MfG

Zitat:

reicht es, wenn ich mich ganz normal in Windows anmelde und dann mit Antivir scanne oder muss ich von einer Boot-CD aus starten (welche ich dann allerdings erst noch erstellen müsste)?

Sorry, ich versteh gerade nicht, was du meinst.

Mir wurde kürzlich gesagt ein sicherer Virenscan sei nur möglich, wenn man den Rechner von CD, beispielsweise mit Windows PE oder einer anderen Notfall-CD, bootet. Beim normalen Start von der Festplatte würden sich manche Schädlinge vor der Antivirensoftware verstecken.

Achso, du meinst wohl eher im abgesicherten Modus.
Verstecken tun sich "nur" Rootkits, dafür gibt es aber das:

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Nochmal danke für Deine schnelle Hilfe!

Dann werde ich mich jetzt mal an die Umsetzung machen und kann dann endlich wieder ruhig schlafen!

mfg

Kein Problem,

Gute nacht,

mfg

Jetzt habe ich noch mal ein Problem.

Ich habe mit Malwarebytes Anti-Malware einen Scan durchgeführt. Während des Scans hat sich plötzlich mein Antivirenwächter wieder gemeldet:

c:\system volume information\_restore{xxx}\rp223\a0070049.exe ist das troj. Pferd TR/Dloader.gcgk.

Die vorherigen vollständigen Systemscans mit meinem Antivirenprogramm hatten diese Datei allerdings nicht gemeldet.

Ich habe die Datei daraufhin in Quarantäne verschoben.

Anti-Malware selbst hat keine Funde gemeldet.

Ich habe daraufhin im abgesicherten Modus noch einmal eine vollständigen Virenscan durchlaufen lassen, der ohne Fund blieb.

Seltsam war lediglich, dass sich mein Antivirus beim nächsten Neustart selbstständig gemacht hat und gleich mit 2 Instanzen begonnen hat einen vollständigen Systemscan zu machen.

Ist das jetzt nochmal falscher Alarm?

Zitat:

Während des Scans hat sich plötzlich mein Antivirenwächter wieder gemeldet:

Das ist klar, den hättest du deaktivieren müssen.

Zitat:

c:\system volume information\_restore{xxx}\rp223\a0070049.exe ist das troj. Pferd TR/Dloader.gcgk.

Vermutlich Fehlalarm, du kannst die Datei aus der Quarantäne ja an Avira schicken: Klick

Die Rubrik "Verdächtige Datei" musst du auf "Verdacht auf Fehlalarm" ändern. Avira wird dich dann in wenigen Tagen/Stunden per Email benachrichtigen.

mfg