Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe

hopfi · 18.04.2009, 18:26

Hi, vor ein paar tagen meldete Antivir die meldung, dass die Datei C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe mit dem virus TR/Dropper.Gen infiziert sei.

zuerst einmal mein hijackthislogfile:

C:\Program Files (x86)\EXPERTool\TBPANEL.exe
C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ***.***.***.*:****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TQ566808] "D:\Setup.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [GAINWARD] C:\Program Files (x86)\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C56337D4-4CDF-49BE-B643-D30652328418}: NameServer = 192.168.178.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files (x86)\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files (x86)\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7836 bytes

wenn ich hijack this starte, kommt folgende meldung:

"for some reason your system denied write access to the hosts file. if any hijacked domains are in this file, hijack this may NOT be able to fix this.

If that happens, you need to edit the file yourself. To do this, click Start, Run and type:

notepad C:\Windows\System32\drivers\etc\hosts

and press Enter. Find the line(s) HijackThis reports and delete them.
Save the file as 'hosts.'(with quotes), and reboot.

For Vista: simply, exit HijackThis, right click on the HijackThis icon, choose 'Run as administrator'."

zunächst: was besagt mein HijackThis logfile? was hat es mit dieser nachricht auf sich?

schon mal danke für eure hilfe, hopfi (:

RushHour777 · 18.04.2009, 19:00

hallo und

Bitte mach ein Malwarebytes scan download/anleitung hier
http://www.trojaner-board.de/51187-a...i-malware.html

sowie SUPERAntiSpyware von hier
http://www.trojaner-board.de/51871-a...tispyware.html

sowiem die HijackThis uninstall liste

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis

und bitte noch die systemwiederherrstellung ausmachen

hier die Anleitung:

Deaktivieren der Systemwiederherstellung

Windows XP:

* Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
* Wähle den Reiter "Systemwiederherstellung"
* Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
* Jetzt den PC booten, der Start kann eine Weile dauern
* Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

bitte den antivir report hier her posten dazu

+ antivir starten

+berichte (oben links)

+bericht vom fund auswählen

+und reporddatei des berichts anzeigen und den text hier her posten

mfg RushHour777

hopfi · 18.04.2009, 19:52

Zitat:

Zitat von RushHour777

und bitte noch die systemwiederherrstellung ausmachen

hier die Anleitung:

Deaktivieren der Systemwiederherstellung

Windows XP:

* Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
* Wähle den Reiter "Systemwiederherstellung"
* Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
* Jetzt den PC booten, der Start kann eine Weile dauern
* Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

bitte den antivir report hier her posten dazu

+ antivir starten

+berichte (oben links)

+bericht vom fund auswählen

+und reporddatei des berichts anzeigen und den text hier her posten

mfg RushHour777

hey, danke für deine schnelle antwort!
für was die systemwiederherstellung deaktivieren?

wegen den berichten- da gibt es einige probleme:
bevor ich meinen eigenen thread gepostet habe, wurde ich in nem forum bei trojaner-board mit gleichem problem fündig. es sollte hijackthis, anti-malware, ccleaner und SUPERAntiSpyware ausgeführt werden. seitdem wurde der virus bei avira nicht mehr angezeigt, was aber- wie ich aus dem forum entnehmen konnte- nicht unbedingt heissen mag, dass der trojaner ins nirvana befördert wurde. vielmehr hiess es, dass er sich nach einem neustart "regeneriert". also wollte ich erst mal mein HijackThis checken lassen. ist dir iwas besonderes daran aufgefallen? und was bedeuted die meldung, die bei HijackThis erschienen ist?

ich werde aber trotzdem meine logs posten, folgen gleich

RushHour777 · 18.04.2009, 20:07

zur systemwiederherrstellung viren werden mitgespeichert an deinem HijackThis ist mir nichts besonderes aufgefallen (ertser blick)

mfg RushHour777

RushHour777 · 18.04.2009, 20:09

nicht bei dem virus

und mach mal bitte ein bild davon

mfg RushHour777

hopfi · 18.04.2009, 21:33

hey, du meinst doch sicher nen screenshot von der meldung von hijackthis, folgt sofort:

in nem anderen forum auf trojaner-board.de steht, dass diese meldung bei einem anderen benutzer nur erscheint, wenn er HijackThis nicht als admin anwendet.
(siehe:http://www.trojaner-board.de/49572-e...ijackthis.html)
schon mal wieder eine frage geklärt:aplaus:

anti-malware scheint auch soweit sauber zu sein:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1992
Windows 6.0.6001 Service Pack 1

18.04.2009 22:14:39
mbam-log-2009-04-18 (22-14-39).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 179053
Laufzeit: 18 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

RushHour777 · 19.04.2009, 10:10

Zitat:

sowie SUPERAntiSpyware von hier
Anleitung: SuperAntiSpyware

sowiem die HijackThis uninstall liste

Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis

und bitte noch die systemwiederherrstellung ausmachen

hier die Anleitung:

Deaktivieren der Systemwiederherstellung

Windows XP:

* Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
* Wähle den Reiter "Systemwiederherstellung"
* Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
* Jetzt den PC booten, der Start kann eine Weile dauern
* Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

bitte weitermachen

und zu Malwarebytes bitte ein update machen und noch ein scan machen

mfg RushHour777

hopfi · 19.04.2009, 13:25

muss die uninstall liste unbedingt gepostet werden?
ich hab nen zweiten antimalwarescan gemacht. wieder keine infizierten dateien.

die systemwiederherstellungsdeaktivierung muss ich also darum machen, weil bei einer systemwiederherstellung trojaner mitgespeichert werden?

hopfi · 19.04.2009, 13:28

Code:

ATTFilter

Adobe Reader 9 - Deutsch
Anno 1701
Apple Software Update
Ask Toolbar
Avira AntiVir Personal - Free Antivirus
Catan - Städte und Ritter
CCleaner (remove only)
Die Sims 2
Drakensang
Energy Saver Advance B8.0520.1
EXPERTool 6.4
Free Registry Cleaner for Vista 1.0
Genius Biologie (remove only)
Genius Politik
Gimp 2.6.0
HijackThis 2.0.2
ICQ6.5
Java(TM) 6 Update 7
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.8)
OpenOffice.org 3.0
Opera 9.60
PDF Settings
PhotoScape
QuickTime
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista
Realtek High Definition Audio Driver
Skype™ 4.0
SUPERAntiSpyware Free Edition
Uninstall 1.0.0.1
VLC media player 0.9.4
Windows Media Player Firefox Plugin

RushHour777 · 19.04.2009, 14:13

Zitat:

die systemwiederherstellungsdeaktivierung muss ich also darum machen, weil bei einer systemwiederherstellung trojaner mitgespeichert werden?

genau

mfg RushHour777

ps bitte noch ein antivir scan machen und die anleitung weiter machen (das du noch nicht hast)
(superantispyware...)

hopfi · 19.04.2009, 15:10

Zitat:

Zitat von RushHour777

bitte noch ein antivir scan machen und die anleitung weiter machen (das du noch nicht hast)
(superantispyware...)

antivir sowie SUPERAntiSpyware zeigen keine funde an.
ist mein pc sauber?

RushHour777 · 19.04.2009, 15:15

hmm lass nochmal GMER laufen download +hier +

sowie CCleaner von +hier+

gmer log posten

mfg RushHour777

RushHour777 · 19.04.2009, 15:24

wie geht es windows hat sich was verändert (nach dem virus)

mfg RushHour777

hopfi · 19.04.2009, 15:41

hey, ich hab mal GMER alles checken lassen, das ergebnis:

Code:

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-19 16:25:04
Windows 6.0.6001 Service Pack 1


---- Files - GMER 1.0.15 ----

File  C:\Windows\System32\WDI\LogFiles\WdiContextLog.etl.001  (size mismatch) 1654784/655360 bytes
File  C:\Windows\System32\wfp\wfpdiag.etl                     (size mismatch) 65536/0 bytes

---- EOF - GMER 1.0.15 ----

was soll ich mit den dateien anfangen? löschen?

gute frage, was sich nach dem trojaner verändert hat. über die schnelligkeit kann ich nichts aussagen, mein pc war vorher sehr schnell und ist es immer noch^^
bei antivir steht, dass der trojaner schädliche dateien erstellt. davon hab ich aber bis jetzt nichts mitbekommen.

liebe grüsse, h

RushHour777 · 19.04.2009, 16:46

jetzt noch einmal CCleaner rüber laufen lassen und dann bist du fertig
(anleitung steht für alle hilfesuchenden) oder in meiner signatur (hijackthis uninstall liste

Zitat:

was soll ich mit den dateien anfangen? löschen?

nichts

mfg RushHour777

18.04.2009, 20:07	#4
RushHour777 Gesperrt	$Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe - Standard$ Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe zur systemwiederherrstellung viren werden mitgespeichert an deinem HijackThis ist mir nichts besonderes aufgefallen (ertser blick) mfg RushHour777

18.04.2009, 20:09	#5
RushHour777 Gesperrt	$Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe - Standard$ Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe nicht bei dem virus und mach mal bitte ein bild davon mfg RushHour777

19.04.2009, 15:15	#12
RushHour777 Gesperrt	$Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe - Standard$ Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe hmm lass nochmal GMER laufen download +hier + sowie CCleaner von +hier+ gmer log posten mfg RushHour777

19.04.2009, 15:24	#13
RushHour777 Gesperrt	$Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe - Standard$ Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe wie geht es windows hat sich was verändert (nach dem virus) mfg RushHour777

Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe

Log-Analyse und Auswertung: Trojaner TR/Dropper.Gen unter ..\GIGABYTE\EnergySaver\GSvr.exe