|
Dropper.Gen? Hallo erstmal... Habe seit kurzem den Computer von einem Bekannten und seit (noch) kürzerem macht er mir so einige Probleme Er läuft extrem langsam(braucht zum Starten von Programmen bis zu 10 min), bricht Programme ab(weil angeblich nicht genug Speicher vorhanden wäre und auch gern mal Grundlos), öffnet Programme nur nach mehrfachem "Auffordern", Die Firewall schaltet sich gern nach belieben ab, und Avira Antivir Scan funktioniert gar nicht mehr(daher bin ich mir auch nicht sicher ob es Dropper.Gen war).... Da es sich wie gesagt nicht um meinen eigenen Computer handelt, sondern um den von einem Bekannten und ich noch dazu absolut gar keine Ahnung habe was Viren,Trojaner etc. angeht, habe ich mich nicht getraut eigenmächtig irgendwelche Lösungsvorschläge die ich fand nachzuarbeiten. Ich hoffe ihr könnt mir hoffnungslos unwissenden und hilflosen Persönchen weiterhelfen. Danke schon mal im vorraus. Achso hier auch noch ein Log-File Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:30:23, on 26.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\sol.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\***\Desktop\***\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {935F9B04-0C7B-4454-A391-348C54AD7ADD} (Jolly Bear Games Player) - http://h**p//games.bigfishgames.com/...GamePlayer.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://h**p://arcade.icq.com/online/...ploader_v6.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F615E03E-55F6-4C8D-A156-897CF99FE5DE}: NameServer = 195.50.140.114 195.50.140.252 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 4252 bytes |
Hallo Nail Da wirst du wohl wenig Glück haben mit einem Reinigungsversuch. Da ist die NTOS.EXE drauf. Die hat alle Kennwörter ausgespäht und weitergemeldet. Eines ist auch komisch und zwar die SOL.EXE im System32 Ordner. Diese Datei bitte mal bei Virustotal scannen lassen. Das Ergebnis dann hier komplett posten. |
Hallo und :hallo: Zitat:
Zitat:
Dieser Bösewicht stiehlt alles an Pass und Kennwörtern was ihm in die Quere kommt und sollten von einem sauberen Rechner sofort geändert werden. Wenn Onlinebanking betrieben werden sollte setzt euch bitte mit der Bank in Verbindung, kontrolliert auch sonstige Konten z.B. PayPal. Sorry, aber einzig sinnvolle Abhilfe --> http://www.trojaner-board.de/51262-a...sicherung.html MFG |
Hallo @Nochdigger das ist mit schon klar, das Neu aufgesetzt werden muss. Mich hatte nur die Sol.exe interressiert. |
Moin :oirgendwie hatte ich wohl noch die Klüsen dicht heut morgen (mag am Wein gestern gelegen haben:party:), ich hab deinen Beitrag völlig übersehen und die von dir genannte Datei auch :balla: Evtl. lässt der TO die Datei ja noch auswerten und postet das Ergebnis damit wir dazu lernen...:rolleyes: MFG |
Ohweh gibts denn da keine andere Möglichkeit als das System neu aufzusetzen??? Das wäre nämlich mein größter Albtraum... Hier noch der Scan von Sol.exe : Datei sol.exe empfangen 2008.06.26 16:23:57 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/33 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.26.0 2008.06.26 - AntiVir 7.8.0.59 2008.06.26 - Authentium 5.1.0.4 2008.06.25 - Avast 4.8.1195.0 2008.06.26 - AVG 7.5.0.516 2008.06.26 - BitDefender 7.2 2008.06.26 - CAT-QuickHeal 9.50 2008.06.26 - ClamAV 0.93.1 2008.06.26 - DrWeb 4.44.0.09170 2008.06.26 - eSafe 7.0.17.0 2008.06.25 - eTrust-Vet 31.6.5907 2008.06.26 - Ewido 4.0 2008.06.26 - F-Prot 4.4.4.56 2008.06.25 - F-Secure 7.60.13501.0 2008.06.24 - Fortinet 3.14.0.0 2008.06.26 - GData 2.0.7306.1023 2008.06.26 - Ikarus T3.1.1.26.0 2008.06.26 - Kaspersky 7.0.0.125 2008.06.26 - McAfee 5325 2008.06.25 - Microsoft None 2008.06.26 - NOD32v2 3221 2008.06.26 - Norman 5.80.02 2008.06.26 - Panda 9.0.0.4 2008.06.26 - Prevx1 V2 2008.06.26 - Rising 20.50.32.00 2008.06.26 - Sophos 4.30.0 2008.06.26 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.26 - TheHacker 6.2.92.362 2008.06.26 - TrendMicro 8.700.0.1004 2008.06.26 - VBA32 3.12.6.8 2008.06.26 - VirusBuster 4.5.11.0 2008.06.23 - Webwasher-Gateway 6.6.2 2008.06.26 - weitere Informationen File size: 57344 bytes MD5...: 2f4c044826ea73ac033d5713ebdfe438 SHA1..: 7128457c734364bcce0c83c8c2c1469f8774d705 SHA256: ccee2c625593c9b44e63e82a0526a97217cb205d51399ec2451b83e03ea5d426 SHA512: 11f02d83c5f8b69704bf03af947d985ebab1d992bda3db7b3c3b3b80951e76fa 3689d746161151b0a87d6657d3c71d9d1dc32a1d6e8f1295cc0648e2d8d5db79 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1005f85 timedatestamp.....: 0x3b7d8480 (Fri Aug 17 20:54:24 2001) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5d2e 0x5e00 6.50 e427f2681b9e08fa6ca241374b489498 .data 0x7000 0x38c 0x200 1.70 21f37eb73f8ceb287391ed1acf7ece84 .rsrc 0x8000 0x8000 0x7c00 5.04 66cb04596f4c7ccea97a46fb6b1a32fb ( 8 imports ) > msvcrt.dll: _except_handler3, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, rand, time, srand > ADVAPI32.dll: RegCreateKeyExW, RegQueryValueExW, RegOpenKeyExA, RegQueryValueExA, RegSetValueExW, RegCloseKey > KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, MulDiv, lstrlenW, LocalFree, LocalAlloc, GetCommandLineW, GetProcAddress, LoadLibraryA > GDI32.dll: SetTextColor, SetPixel, LineDDA, BitBlt, CreateCompatibleDC, GetStockObject, GetTextExtentPoint32W, CreateFontW, DeleteDC, TextOutW, PtVisible, SetBrushOrgEx, SelectObject, PatBlt, SetROP2, MoveToEx, LineTo, GetTextMetricsW, DeleteObject, CreateSolidBrush, GetDeviceCaps, CreateCompatibleBitmap > USER32.dll: SetFocus, RegisterClassW, CopyRect, MoveWindow, DestroyWindow, GetSysColor, EndPaint, BeginPaint, GetDC, ReleaseDC, InvalidateRect, EndDialog, GetDesktopWindow, LoadStringA, ReleaseCapture, GetCapture, SetCapture, PostMessageW, EnableMenuItem, GetMenu, DefWindowProcW, ShowCursor, PostQuitMessage, KillTimer, GetClientRect, IsIconic, LoadAcceleratorsW, UpdateWindow, ShowWindow, SetTimer, CreateWindowExW, AdjustWindowRect, RegisterClassExW, LoadImageW, LoadIconW, RegisterWindowMessageW, LoadCursorW, DispatchMessageW, TranslateMessage, TranslateAcceleratorW, GetMessageW, InvertRect, IntersectRect, MessageBoxW, LoadStringW, SetCursorPos, ClientToScreen, GetKeyState, PtInRect, PeekMessageW, MsgWaitForMultipleObjects, DrawTextW, WinHelpW, CheckDlgButton, IsDlgButtonChecked, EnableWindow, GetDlgItem, CheckRadioButton, DialogBoxParamW, InflateRect, FrameRect > CARDS.dll: cdtDrawExt, cdtInit, cdtTerm, cdtDraw > SHELL32.dll: ShellAboutW > COMCTL32.dll: InitCommonControlsEx ( 0 exports ) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board