Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   C:\Programme\gtermddo.exe (https://www.trojaner-board.de/22622-c-programme-gtermddo-exe.html)

mafi123 10.10.2005 15:54
C:\Programme\gtermddo.exe
 
hi

ich war grad am Stöbern und bin in msconfig-autostart auf dieses programm gestoßen, hijackthis meldet es in dieser Weise, die Page hijackthis.de hat aber keinerlei Informationen.

Code:
O4 - HKLM\..\Run: [gtermddo] C:\Programme\gtermddo.exe
kennt einer das Programm oder kann mir helfen, herrauszufinden, was es eigentlich macht???

Danke, Mafi123

chaosman 10.10.2005 20:37
@mafi123
da google dies programm wohl auchnicht kennt, lasse diese datei
C:\Programme\gtermddo.exe
hier überprüfen
http://virusscan.jotti.org/de/
und poste das ergebnis

chaosman

mafi123 11.10.2005 13:51
Hab ich gemacht, Virus ist es keiner.
Gibt es dennoch eine Möglichkeit herrauszufinden, was es denn ist?

stupormundi 11.10.2005 14:03
servus, mafi123!
Poste uns doch mal das ganze HJT-Logfile. Der Eintrag ist ja wirklich interessant!
stupormundi

mafi123 11.10.2005 15:11
Code:
Logfile of HijackThis v1.99.1
Scan saved at 16:07:07, on 11.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\AVPersonal\AVSched32.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Logitech-Treiber\MouseWare\system\em_exec.exe
E:\powertoys\taskswitch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\AVPersonal\AVGNT.EXE
E:\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
E:\ICQLite\ICQLite.exe
E:\AVPERSONAL\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
E:\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\svchost.exe
E:\United Devices\UD.EXE
E:\United Devices\ud_7657531.exe
E:\United Devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
E:\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\me\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVSCHED32] E:\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] E:\powertoys\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] E:\powertoys\taskswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CloneCDTray] "e:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [gtermddo] C:\Programme\gtermddo.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ICQ 5.lnk = E:\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125827725593
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: InteractiveLogon - Unknown owner - E:\powertoys\Fast.exe (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\T-DSL SpeedManager\tsmsvc.exe
mit der markierten Zeile kann ich auch nichts anfangen...
bis auf die microsoft/windows-sachen, ist mir bewusst, wozu ich sie installiert habe. Vermutlich sind auch die Windowsdateien zu irgentetwas gut ;)

mafi123 11.10.2005 16:49
Sorry, ich hab nicht geschafft, den alten Beitrag zu editieren (geht das überhaupt? :confused: )

wie auch immer...
ich hab mal ne Windows-Suche laufen lassen, die Datei wurde nämlich am 25.01.2004 erstellt. Da gabs meinen Pc noch garnicht...
Außerdem wurden an diesem Tag ein paar Dateien von MikTex und von WinHTTrackIEBar erstellt - zuvor ist mir diese Datei an diesem Denkbar sonderbaren Ort aber nicht aufgefallen. Ich schaue regelmäßig die Autostart-Aufstellung in MSCONFIG an.

vielleicht helfen diese Hinweise
PS: wenn man Doppelklickt passiert nichts, das Programm startet sich ohnehin bei jedem Start ("Gefahr" also ausgeschlossen, bzw mittlerweile egal ;) ) im Taskmanager ist es nicht drin, so wie ich das beurteilen kann.


EDIT: (seltsam jetzt gehts...)

in der Registry taucht es hier auf:
Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-1708537768-1644491937-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
HKEY_USERS\S-1-5-21-1708537768-1644491937-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache

cacatoa 11.10.2005 17:16
Hi, einmisch:
Da wird uns wieder mal gezeigt, wie unvorstellbar weit die Welt unserer Computer ist. Deine Datei "gtermddo" taucht sogar in Windows-Fehlermeldungen auf. Allerdings kennt man sie bei Microsoft nicht...
Geh aber mal davon aus, daß es nix schlimmes ist... http://www.cosgan.de/images/smilie/teufel/g015.gif
cacatoa

mafi123 12.10.2005 12:56
hi nochmal

gibt es denn außer Löschen und Abwarten, ob sich was ändert eine anderen Möglichkeit, auf die Funtktion des Programms zu schließen?

cacatoa 12.10.2005 17:55
Also, meiner Ansicht nach nicht.
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131