Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
C:\WINDOWS\9129837.exe - ist das ein Trojaner?

C:\WINDOWS\9129837.exe - ist das ein Trojaner?


Plagegeister aller Art und deren Bekämpfung: C:\WINDOWS\9129837.exe - ist das ein Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.07.2009, 18:07   #1
hoppeli
 
C:\WINDOWS\9129837.exe - ist das ein Trojaner? - Standard

C:\WINDOWS\9129837.exe - ist das ein Trojaner?


Hallo zusammen,

ich bin gerade bei Bekannten die in letzter Zeit dauernd folgende Fehlermeldung erhalten:

Guardgui.exe
DIe Anweisung in "Ox00f09bcf" verweist auf Speicher in "0x00f09bcf". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

Antivir funktioniert auch nicht mehr richtig; man kann keine Updates mehr machen und das System lässt sich auch nicht mehr scannen.

Daraufhin habe ich ein Hijack-Log erstellt mit folgendem Ergebnis:

Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16, on 01.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\svc.exe
C:\WINDOWS\9129837.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\odb.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\fsbl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcD+LDHhd+DajEx2BrGq/Y06Y4W3Rh3uEVw68YN2pImfum7lSZsg7mNdHQHihgFADnfESdeO6p4RWEFxenZs9AdSkqxdlOe4GrykgzqlCerHDvdHfk6rtnAKjHC4TEJsNxeEbb6AituxpX16/FMLtMRPVBxK5G0SoUhpLUNEOQOIiJDzPld8/wNG2map7Dv4H2440ip875wcKs=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {4FB63557-6514-4B40-B1AE-6F7815FC93D4} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [odby] C:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\f8f8000e1.dll""
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\f8f8000e1.dll"" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\f8f8000e1.dll"" (User 'Default user')
O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217172861375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: eqvwamkl - {682A7211-B547-4193-8133-7135CA054378} - (no file)
O21 - SSODL: wnslvxtf - {BCDD49B1-6285-4A29-93A8-B780863F8931} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DATEV Update-Service - DATEV eG - C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE

--
End of file - 6422 bytes

Danach habe ich folgende Datei bei Virustotal hochgeladen: C:\WINDOWS\9129837.exe

Da kam das bei raus:

Datei 9129837.exe empfangen 2009.06.20 03:22:05 (UTC)
Status: Beendet
Ergebnis: 13/41 (31.71%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.20 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.06.19 -
AntiVir 7.9.0.193 2009.06.19 TR/Crypt.FKM.Gen
Antiy-AVL 2.0.3.1 2009.06.19 -
Authentium 5.1.2.4 2009.06.19 -
Avast 4.8.1335.0 2009.06.19 -
AVG 8.5.0.339 2009.06.19 SHeur2.AMFD
BitDefender 7.2 2009.06.20 -
CAT-QuickHeal 10.00 2009.06.19 -
ClamAV 0.94.1 2009.06.19 -
Comodo 1375 2009.06.20 -
DrWeb 5.0.0.12182 2009.06.20 Trojan.Sniff.99
eSafe 7.0.17.0 2009.06.18 -
eTrust-Vet 31.6.6570 2009.06.19 -
F-Prot 4.4.4.56 2009.06.19 -
F-Secure 8.0.14470.0 2009.06.19 -
Fortinet 3.117.0.0 2009.06.19 -
GData 19 2009.06.20 -
Ikarus T3.1.1.59.0 2009.06.20 Trojan.Crypt
Jiangmin 11.0.706 2009.06.19 -
K7AntiVirus 7.10.768 2009.06.19 -
Kaspersky 7.0.0.125 2009.06.20 -
McAfee 5651 2009.06.19 -
McAfee+Artemis 5651 2009.06.19 Artemis!BED856B1B712
McAfee-GW-Edition 6.7.6 2009.06.19 Trojan.Crypt.FKM.Gen
Microsoft 1.4803 2009.06.20 TrojanSpy:Win32/Ursnif.gen!G
NOD32 4173 2009.06.20 a variant of Win32/Kryptik.UR
Norman 6.01.09 2009.06.19 -
nProtect 2009.1.8.0 2009.06.20 -
Panda 10.0.0.16 2009.06.19 -
PCTools 4.4.2.0 2009.06.19 -
Prevx 3.0 2009.06.20 Medium Risk Malware
Rising 21.34.50.00 2009.06.20 -
Sophos 4.42.0 2009.06.20 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.06.20 -
Symantec 1.4.4.12 2009.06.20 Packed.Generic.234
TheHacker 6.3.4.3.348 2009.06.19 -
TrendMicro 8.950.0.1094 2009.06.19 -
VBA32 3.12.10.7 2009.06.20 -
ViRobot 2009.6.19.1796 2009.06.19 -
VirusBuster 4.6.5.0 2009.06.19 Trojan.Fraudload.Gen!Pac.3
weitere Informationen
File size: 55809 bytes
MD5 : bed856b1b7121ebead8fc3113b76db45
SHA1 : 2dc78787d44eb3fac000744483d63a9aa6e388b6
SHA256: 09055017244dadb772e1a28d53231c3d73cbd8b04115a5893a968cdff0dd5068
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1129
timedatestamp.....: 0x4A39032F (Wed Jun 17 16:52:31 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xCD48 0xCE00 7.14 ad9e8f2b63c9423b1bd92af8528bf2f8
.rdata 0xE000 0x136 0x200 3.13 26800bf092dfe66f0528b9f75fde196d
.data 0xF000 0x150008 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x160000 0x358 0x400 2.87 b93b98c75e510f0912312fee7cf31f36
.reloc 0x161000 0x1B0 0x200 0.94 457c9918f19e28c97afc14e56e76f416

( 1 imports )

> kernel32.dll: GetModuleHandleW, VirtualAlloc, LeaveCriticalSection, DeleteCriticalSection, GetSystemTimeAsFileTime, CreateFileW, WideCharToMultiByte, GetLastError, CloseHandle

( 0 exports )
TrID : File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 768:+TZh5I1rsfboZ31yqmCFssLJGQFRLTro7hh7uFALPxThMn7LodWcm3bVqAOEl:+TxICfgSCFssj3TromALPxVm6mJq4
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=74728DD30146B065DA6E00994309FD0074D84543
PEiD : -
RDS : NSRL Reference Data Set


Für mich als Leie war klar, das ist ein Trojaner. Aber welcher? Ich weiß, dass es für bestimmte Trojaner z.B "shark" auch entsprechende Programme zum Entfernen gibt, aber bei dem^^ ?

Kurz und gut, ich habe keine Ahnung was ich hier machen kann. System neu aufsetzen wäre nicht so gut, weil ich auch nicht mehr lange hier bin(unsere Bekannten haben leider gar keine Ahnung von Computer, wie ich vorhin festgestellt habe, ist nicht mal das W-Lan verschlüsselt, das wollte ich danach machen)

Ich wäre euch für eure Hilfe wirklich mehr als Dankbar, weil mit dem PC hier die Buchhaltung gemacht wird und mit der Fehlermeldung kein vernünfiges Arbeiten möglich ist.

Liebn Gruß, Hoppeli

Alt 01.07.2009, 18:38   #2
Angel21
 
C:\WINDOWS\9129837.exe - ist das ein Trojaner? - Standard

C:\WINDOWS\9129837.exe - ist das ein Trojaner?


Hallo,

du hast Silentbanker, Zbot, SDBot und vieles mehr auf dem System.
Kontrolliere vorsichtshalber dein Konto.

Kein eBay, Paypal, Online Banking und Amazon etc mehr....deine Kenn- und Passwörter werden ausgespäht.
Um jemals wieder richtig sicher zu sein würde ich Dein System neuaufsetzen.

Wie das geht, siehe hier: http://www.trojaner-board.de/51262-a...sicherung.html

Bitte keine exe, com oder scr Datein speicher (ausführbare Datein).
Nur Bilder, Dokumente und Musikdatein mitsichern auf einem externen Datenträger, Beim Anstecken des ext. datenträgers bitte die SGIFT Taste gedrückt halten, das verhindert den Autostart und somit eine Infektion auf diesem.
Alle Datein sichern, nicht ausführbare.
Danach Neuaufsetzen und auf dem frischen System erstmal das Service Pack 3 holen auf Windows XP, danach ein antiviren programm (Avira beispielsweise).
Den externen Datenträger anstecken, wieder SHIFT gedrückt halten, danach Avira über die Datein laufen lassen in dieser Einstellung http://www.trojaner-board.de/54192-a...tellungen.html und wenn die sauber sind auf das frische System übertragen.

Viel Erfolg.
sorry, das ich dir keine andere Antwort geben konnte, aber Neuaufsetzen wäre bei dem befall echt das schnellste und SICHERSTE
__________________

__________________
Alt 01.07.2009, 18:42   #3
hoppeli
 
C:\WINDOWS\9129837.exe - ist das ein Trojaner? - Standard

C:\WINDOWS\9129837.exe - ist das ein Trojaner?


dankeschön für deine schnell antwort...dann werde ich wohl mal das system neu aufsetzten ist ja kaum arbeit...=)
__________________
Alt 01.07.2009, 18:45   #4
Angel21
 
C:\WINDOWS\9129837.exe - ist das ein Trojaner? - Standard

C:\WINDOWS\9129837.exe - ist das ein Trojaner?


Wäre wie gesagt das Sicherste und Schnellste.
Tut mir leid, dass ich keine andere Antwort dazu geben kann, aber bei den Trojanern wird immer Neuaufsetzen empfohlen.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Antwort

Themen zu C:\WINDOWS\9129837.exe - ist das ein Trojaner?
acroiehelper.dll, antivir guard, artemis, avira, besitzer, bho, computer, desktop, downloader, entfernen, error, firefox, gen 2, hijackthis, hkus\s-1-5-18, internet, internet explorer, ist das ein trojaner?, mozilla, neu aufsetzen, object, scan, server, shark, software, system, system neu, system neu aufsetzen, trojaner, updates, userinit.exe, verweist auf speicher, virus, windows, windows xp


« Google will nicht richtig=( | PC macht was er will und ich kann es nicht aufhalten »


Ähnliche Themen: C:\WINDOWS\9129837.exe - ist das ein Trojaner?


  1. Windows 7 SP 1 mit Trojaner infiziert - Windows Update Fehlercode 8007002
    Log-Analyse und Auswertung - 11.09.2015 (60)
  2. Windows 7: Trojaner - Windows Updates, Firewall defekt
    Log-Analyse und Auswertung - 20.03.2015 (24)
  3. Windows 7: Nach BKA Trojaner Fehlermeldung beim Starten, Windows Sicherheitscenter kann nicht gestartet werden
    Log-Analyse und Auswertung - 18.11.2014 (9)
  4. Windows-Verschlüsselungs-Trojaner unter Windows 7 auf einem MAC
    Log-Analyse und Auswertung - 14.06.2012 (3)
  5. Nach BKA Trojaner, Windows Firewall deaktiviert sich (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  6. windows verschlüsselungs trojaner, OTL.txt im Anhang, Windows XP
    Log-Analyse und Auswertung - 08.06.2012 (2)
  7. Willkomen bei Windows Update, Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 06.06.2012 (1)
  8. UKash Windows Secure Trojaner mit Windows XP eingefangen
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. Windows Notfall Sicherheits Update Center - Windows XP Trojaner
    Log-Analyse und Auswertung - 21.05.2012 (2)
  10. Windows 7 (64bit) Virus/Trojaner (evtl. Windows Verschlüsselungs Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (19)
  11. Windows-Verschlüsselungs Trojaner Windows 7 Starter
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (10)
  12. Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (12)
  13. "Willkommen bei Windows Update Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 27.04.2012 (3)
  14. 'Windows Security Center' Trojaner - Windows-Benutzer gesperrt !
    Log-Analyse und Auswertung - 16.03.2012 (5)
  15. Windows Vista Home Premium 32-Bit Trojaner Windows gesperrt 50€ zahlen.
    Log-Analyse und Auswertung - 23.01.2012 (1)
  16. Trojaner Fake.AV c:\Users\Sexgott\AppData\Roaming\microsoft\Windows\start menu\Programs\windows reco
    Mülltonne - 28.04.2011 (1)
  17. C:\WINDOWS\9129837.exe - Welcher Trojaner steckt dahinter?
    Log-Analyse und Auswertung - 14.06.2007 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema C:\WINDOWS\9129837.exe - ist das ein Trojaner? - Hallo zusammen, ich bin gerade bei Bekannten die in letzter Zeit dauernd folgende Fehlermeldung erhalten: Guardgui.exe DIe Anweisung in "Ox00f09bcf" verweist auf Speicher in "0x00f09bcf". Der Vorgang "read" konnte nicht - C:\WINDOWS\9129837.exe - ist das ein Trojaner?...
Archiv
Du betrachtest: C:\WINDOWS\9129837.exe - ist das ein Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55