hallo!

gestern hat mir mein av personal den trojaner gobot.p gemeldet im verzeichnis dokumente und einstellungen/all users. andere (online) scanner meldeten aber .t-version; die entsprechende datei habe ich gelöscht und auch seitdem keine meldungen mehr erhalten.

den schock habe ich genutzt, um mal sämtliche programme durchzujagen, die so empfohlen werden. weder the cleaner noch avpersonal haben den trojaner wiedergefunden. kann ich dann sicher sein, dass er entfernt ist?

ausserdem habe ich heute zum ersten mal hjt benutzt und erstmal die automatische log-auswertung benutzt. leider bin ich aber bei einigen einträgen nun nicht sicher, ob ich diese fixen sollte.
besonders bei folgendem eintrag bin ich sehr unschlüssig:

C:/windows/system/slserv.exe

wozu brauche ich diese sis-treiber? weiss leider nicht, ob ich die habe (n sollte).

auch die einträge
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2095fb5a2a59eb3...dxIE601_de.cab

und

O17 - HKLM\System\CCS\Services\Tcpip\..\{FB437CD4-2282-4ABF-AD41-9303ACDB8673}: NameServer = 62.27.27.62 62.27.53.66

werden mir als evtl. schädlich angezeigt.

auf wunsch kann ich auch die automatische auswertung per email verschicken.
vielen dank für eure hilfe!


Logfile of HijackThis v1.98.2
Scan saved at 15:20:13, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Martin\LOKALE~1\Temp\Rar$EX00.432\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v4.windowsupdate.microsoft.com/de/default.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2095fb5a2a59eb3...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094390417536
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42DBC3CA-907E-44DE-A3A4-D4EABEE65BBD}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB437CD4-2282-4ABF-AD41-9303ACDB8673}: NameServer = 62.27.27.62 62.27.53.66

Hallo,
das Log-File ist offensichtlich sauber.

Lade und scanne mit eScan AntiVirus wie beschrieben und entferne eventuell die gefundene Malware manuell.

Die Virus Log Information von eScan AntiVirus posten:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Zitat:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2095fb5a2a59eb...RdxIE601_de.cab
und
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB437CD4-2282-4ABF-AD41-9303ACDB8673}: NameServer = 62.27.27.62 62.27.53.66

Beide unbedenklich.

vielen dank für deine rasche hilfe!

ich werde eScan sofort mal durchlaufen lassen und meine ergebnisse dann hier posten.

habe getan wie mir geheissen, hier also das ergebnis:

Sat Oct 09 18:30:00 2004 => File D:\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv.


das war auch schon alles. kann ich diese datei problemlos löschen oder ist die für's spiel wichtig?
und kann ich jetzt davon ausgehen, dass der gefundene trojaner weg ist?


schon mal vielen dank für eure hilfe. ist wirklich toll, wie ihr immer wieder den verzweifelten usern helft!
ich denke, das sollte auch mal gesagt werden.

liebe grüße,
todes

Zitat:

File D:\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv.

Die solltest du nicht löschen, wenn du weiterhin online spielen willst.
http://www.cs-expert.de/hltvtutorial.php

dann lass ich das wohl besser. spiele eigentlich nur online.

was meinst du zu dem "verschwundenen" trojaner? ist der weg oder kann ich irgendwie sicher gehen?