| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: WIN32GI=> Server.exe sowie Klog.dat Datei gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.08.2008, 22:46
| #1 |
| |  WIN32GI=> Server.exe sowie Klog.dat Datei gefunden Hallo Zusammen, erst einmal ein Lob an diese tolle Board. Als ich das letztemal ein Problem mit einem Trojaner hatte konnte ich das Problem allein durch die Suche beheben :-) Diesmal sieht es leider etwas anders aus. Ich habe leider eine heruntergeladene Datei ausgeführt die dann etwas bei mir installiert hat. Ich habe kurz darauf den PC neu gegestartet und dann kam eine Meldung auf den Desktop (ohne das sonst schon ein Icon zu sehen war) das "Einstellungen" von einer Datei C:\Windows\WIN32GIserver.exe vorgnommen werden => es öffnete sich ein Fenster wie als hätte man einen neuen "User" angelegt und dieser hat sich zum erstenmal angemeldet. Ich habe sofort den Warmstart-Knopf gedrückt und somit die Aktion abgebrochen. Danach den PC im abgesicherten Modus gestartet und auf "Spurensuche" gegangen. Im C:\WINDOWS\ befand sich das vesteckte Verzeichniss WIN32GI\mit den Dateien server.exe sowie KLOG.dat (bisher nur ein paar KB gross) Das Verzeichnis mit den Dateien habe ich gelöscht. Danach hab ich den kompletten PC durchsucht nach Dateien mit heutigem Erstellungsdatum bzw. Änderungsdatum (mehrere Suchgänge) Dabei ist im System32 noch die Datei server_ud_2.exe aufgetaucht => auch gelöscht Außerdem hat ich noch die Datei addon.dat in C:\Dokumente und Einstellungen\...\Anwendungsdaten gefunden (auch bisher nur ein paar KB gross) => gelöscht Danach hab ich noch alle Internet Daten, Cookies etc. gelöscht und von einem zweiten PC sofort meine Passwörter für Ebay etc. geändert. Als Bemerkung: Ich speicher generell KEINE Passwörter auf dem PC, sondern geb Sie immer neu ein. Meint Ihr ich komme um eine Neuinstallation herum da ja zwischen der "Aktivierung" und dem Entdecken nur ein paar Minuten lagen. Ach ja, die PC Installation ist erst ein paar Wochen alt und somit noch relativ frisch, aber es waren trotzdem schon wieder einige Stunden Arbeit bis Alles wieder installiert war. Schon einmal vielen Dank im Vorraus für Eure Hilfe. Gruss Doc. PS: Das unten aufgeführte Programm C:\Programme\Malwarebytes' Anti-Malware\mbam.exe läuft noch und hat nach 1,5 Stunden Suchen noch nichts gefunden. Sobald die Log-datei erstellt ist hänge ich Sie hier an (wird aber sicher erst morgen Früh sein, da ich jetzt nach nem 18 Stunden Tag endlich ins Bett veschwinde, in 6 Stunden klingelt wieder der Wecker ....) ================================================= Anbei die HiJack Datei Windows XP SP3 Automatische Update aktiv Avira Antivir automatisches Update von heut Abend Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:23:43, on 19.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Silvercrest OM1007 driver\KMWDSrv.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Silvercrest OM1007 driver\StartAutorun.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Silvercrest OM1007 driver\KMConfig.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe C:\Programme\Silvercrest OM1007 driver\KMProcess.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe F:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Silvercrest OM1007 driver\StartAutorun.exe KMConfig.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218120277888 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Silvercrest OM1007 driver\KMWDSrv.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe -- End of file - 6616 bytes |
| Themen zu WIN32GI=> Server.exe sowie Klog.dat Datei gefunden |
| abgesicherten modus, adobe, antivir, antivirus, bho, defender, desktop, ebay, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, klog.dat, log-datei, malwarebytes' anti-malware, mehrere, microsoft, neu, problem, programm, programme, software, suche, system, trojaner, vielen dank, windows, windows defender |
Baum-Darstellung