Hallo euch allen :aplaus:

Also ich benutze Antivir 2008.
Jetzt hab ich hier ein Archiv, das mir beim Durchsuchen eine Warnung bringt:

TR/Spy.Gampass.T

gefunden.

Kann mir jemand sagen, um was es sich dabei handelt bzw.
was dieser Trojaner so anrichtet. Bei Google gibts dazu leider nichts.
Zwar TR/Spy.Gampass aber alle mit anderen Endungen.
Also z.B.: Spy.Gampass.CG, oder Spy.Gampass.J aber halt nicht ... .T

Das komische ist nämlich, ich hab dieses Trojaner gefunden,
Antivir Update gemacht und es wurde nichts mehr entdeckt.
Erneutes Update (soll man ja regelmäßig machen) und siehe da,
er wurde wieder gefunden.

MfG

ähhm sorry aber dir sollte es in erster linie nich darum gehen was er anrichtet sondern wie du ihn wieder loswirst Oo nach dem namen zu urteilen wird das Spyware sein die dein Internet verhalten und ähnliches überwacht....

Ähm bitte mal Betriebssystem und HijackThis Log posten.

Benutzt du XP AntiVir 2008 oder benutzt du Avira AntiVir?

Lade die bemängelte Datei bitte mal bei virustotal hoch und poste das Ergebnis hier.

lg myrtille

HiJack This log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:14, on 09.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Aston\aston.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
E:\ZoneAlarm\zlclient.exe
E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
e:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Alles mit FDM herunterladen - file://E:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://E:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://E:\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://E:\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://E:\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mit CompleX Studio bearbeiten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\NKSoft\CompleX\\linker.exe (file missing)
O9 - Extra 'Tools' menuitem: Mit CompleX Studio bearbeiten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\NKSoft\CompleX\\linker.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0781E7CE-7104-426B-B719-ABBDFD7B8466}: NameServer = 192.168.15.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{0781E7CE-7104-426B-B719-ABBDFD7B8466}: NameServer = 192.168.15.99
O17 - HKLM\System\CS2\Services\Tcpip\..\{0781E7CE-7104-426B-B719-ABBDFD7B8466}: NameServer = 192.168.15.99
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

VirusTotal log:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  		letzte aktualisierung  	Ergebnis

AhnLab-V3		2008.9.6.0		2008.09.09		-
AntiVir		7.8.1.28		2008.09.09		TR/Spy.Gampass.T
Authentium		5.1.0.4		2008.09.05		W32/Heuristic-210!Eldorado
Avast			4.8.1195.0		2008.09.05		Win32:Spyware-gen
AVG			8.0.0.161		2008.09.09		Generic10.ORH
BitDefender		7.2			2008.09.09		Trojan.Generic.253313
CAT-QuickHeal	9.50			2008.09.02		(Suspicious) - DNAScan
ClamAV		0.93.1		2008.09.09		-
DrWeb			4.44.0.09170	2008.09.09		-
eSafe			7.0.17.0		2008.09.09		Suspicious File
eTrust-Vet		31.6.6072		2008.09.05		-
Ewido			4.0			2008.09.09		-
F-Prot		4.4.4.56		2008.09.04		W32/Heuristic-210!Eldorado
F-Secure		8.0.14332.0		2008.09.09		W32/Suspicious_U.gen
Fortinet		3.112.0.0		2008.09.09		-
GData			19			2008.09.09		Win32:Spyware-gen
Ikarus		T3.1.1.34.0		2008.09.09		Trojan.Generic
K7AntiVirus		7.10.443		2008.09.05		Backdoor.Win32.Suspicious_U.Family
Kaspersky		7.0.0.125		2008.09.09		-
McAfee		5378			2008.09.05		Generic.dx
Microsoft		1.3903		2008.09.06		-
NOD32v2		3427			2008.09.09		-
Norman		5.80.02		2008.09.05		W32/Packed_Upack.A
Panda			9.0.0.4		2008.09.05		Trj/Lineage.BZE
PCTools		4.4.2.0		2008.09.05		Packed/Upack
Prevx1		V2			2008.09.09		Malicious Software
Rising		20.61.12.00		2008.09.09		-
Sophos		4.33.0		2008.09.09		Sus/ComPack-K
Sunbelt		3.1.1610.1		2008.09.05		VIPRE.Suspicious
Symantec		10			2008.09.09		Infostealer.Gampass
TheHacker		6.3.0.8.072		2008.09.04		W32/Behav-Heuristic-060
TrendMicro		8.700.0.1004	2008.09.09		TROJ_Generic.A
VBA32			3.12.8.5		2008.09.05		-
ViRobot		2008.9.9.1369	2008.09.09		-
VirusBuster		4.5.11.0		2008.09.05		Packed/Upack
Webwasher-Gateway	6.6.2			2008.09.09		Trojan.Spy.Gampass.T
         

Betriebssystem: Windows XP Home SP2
Avira Anti-Vir Personal - Free Antivirus

Hi,

hast du die Datei ausgeführt?

Es ist imho kein Fehlalarm und wenn du das Programm ausgeführt hast, solltest du schnellstens die Passwörter deiner Accounts von einem sauberen Rechner aus ändern und deinen Rechner Neuaufsetzen um sauber zu werden.

lg myrtille

Hi,

ja, ich hab die Datei ausgeführt, da ja keine Meldung mehr kam.
Hab nämlich im I-Net gelesen, das Avira öfters mal solche "Fehlmeldungen" bringt, die durch update verschwinden.

Nun, das scheint ja schief gelaufen zu sein.
aus diesem Grund habe ich natürlich, bevor ich hier gepostet habe,
einen kompletten Systemcheck durchgeführt.
Mit Avira und mit A-squared Free. Beide haben nichts gefunden.

Müßten sie doch aber eigentlich wenn mein System infiziert ist, oder

Hi,

was hat die Datei in deinem Archiv denn für eine Funktion? Sollte sie Passwörter auslesen?

Es ist durchaus möglich, dass der installierte Trojaner von Antivirenscannern nicht mehr erkannt wird.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier
Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

• Lade dir Catchme runter auf deinen Desktop.
• Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
• Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
• Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

So, ich habs geschafft

Ich hab die Log-Files angehängt,
die wahren nämlich zu lang...

Und weiter gehts:

Ach so, das Programm ist zum entfernen bestimmter unnötiger dll-Dateien,
die gezielt gesucht und gelöcht werden.

lg

Hi,

die Logs sehen sauber aus. Solltest du infiziert sein, dann ist die Malware wirklich gut versteckt. Vielleicht handelt es sich allerdings auch auf einen Fehlalarm
Sende die Datei vielleicht mal als Verdacht auf Fehlalarm bei Antivir ein: Einsenden.

Poste das Ergebnis dann hier.

lg myrtille

Alles klar.
Werd ich mal machen.

Ich danke dir für deine große Hilfe.
Ich frag mich echt, wie man aus den Logs was lesen kann,
aber ich bin ja auch kein Experte

LG nierewa

Hi,

das ist alles nur eine Frage der Übung. Die Programme zeigen verschiedene Ladepunkte von Malware an und man muss beim Überprüfen der Punkte dann versuchen die normale Software von Malware unterscheiden.

lg myrtille