|
winzip.exe Nabend, ich habe mir letztens einen Keygen für GTA 4 gesaugt weil ich testen wollte ob GTA4 überhaupt aneständig auf meinem Rechner läuft bevor ich es mir kaufe. Dummer weise war dieser keygen nunmal kein keygen sondern ein Trojaner :headbang: . Dieser hat sich beim Start von windows immer mitgestartet bis ich ihn bei hijackthis gefixed habe. Nun wollte ich vorhin musik auf mein Handy (SD karte) per usb kabel übertragen und dieser drecks trojaner hat sich wieder geöffnet. Dachte eigentlcih antivir hätte ihn gelöscht denn auch dort habe ich gescanned und nachdem löschen nocheinmal wo nichtsmehr kam. Hier mein log file, habe zwar selbst schonmal drüber geschaut aber vieleicht kommt ihr da mit weiter: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:30:30, on 19.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcIp.exe C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcAppFlt.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorEngine.exe C:\Programme\Mozilla Firefox\firefox.exe G:\driver\usb\usb_driver.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe G:\driver\usb\usb_driver.exe C:\WINDOWS\winzip.exe C:\WINDOWS\winzip.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ttp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programme\SpeedBit Video Accelerator\VideoAccelerator.exe" O4 - HKLM\..\Run: [Winzip Program] winzip.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'SYSTEM') O4 - .DEFAULT Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'Default user') O4 - .DEFAULT Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'Default user') O4 - .DEFAULT Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'Default user') O4 - .DEFAULT Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'Default user') O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htp://go.microsoft.com/fwlink/?linkid=39204 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe -- End of file - 8591 bytes O4 - HKLM\..\Run: [Winzip Program] winzip.exe ist das drecksteil -.- die datei versteckt sich unsichtbar in C:\windows sprich C:\windows\winzip.exe ich kann eine verknüpfung zur datei erstellen, allerdings bringt normales löschen nichts und antivir erkennt wenn ich die datei oder den ordner scanne auch nichts. Hoffe mir kann jemand helfen, weil die SuFu und google haben Null gebracht. mfg, Flixl EDIT: Das Ergebnis des Scanns von Virustotal: http://www.virustotal.com/de/analisi...70a6ba146fa687 Edit2: hab auf meinem Handy den trojaner auch gefunden oO. diesmal unter dem namen: usb_driver. dummerweise ist das schreibgeschützt und ich kann es nicht ändern :( |
sry wegen doppelpost aber wegen der Übersichtlichkeit: ich habe mir versteckte dateien, ordner etc anzeigen lassen, die datei "ent"schreibgeschützt und dann normal gelöscht. sie ist jetzt nichtmehr im C:\windows wies auschaut. allerdings immer noch auf meinem handy -.- ich werde noch weiter nach der datei suchen. weiteres werde ich morgen bekannt geben... |
Hi Bifrost hab ich auch schon drauf gehabt.... ALSO ICH WÜRDE IHN NEU AUFSETZEN UND NICHT MEHR INS INET GEHEN! BiFrost sendet immer schön ins INET.....!!!!!! Warte aber bitte, was die Profis sagen und zwischendurch kannste hier ja mal die Suchfunktion benutzen um dich bischen zu informieren! Gruss BIOTEC |
Zitat:
mach es wie BIOTEC empfohlen hat: neuaufsetzen und alle Passwörter ändern, danach halte Dich von Warez fern. Ich bin mir sicher, dass Bifrost auf einem Handy nicht lauffähig ist, denn Bifrost läuft nur auf einem Windows Betriebssystem. Ich denke mal, da "läuft" was anderes. |
och nö, nich bifrost :headbang:. was sendet der so alles nochmal? naja. werd ich mal mien system neu aufsetzen, wollt ich eh mal machen... PS: was mienst du mit "da läuft was andres"? aber wie kann ich die dateien von meiner mini SD karte löschen? nicht die karte ist schreibgeschützt sondern nur die daten, welche zum trojaner gehören :( (das häckchen bei schreibgeschützt is dirn und grau wodurch ich es nicht wegmachen kann) achja. auf meiner SD karte is auhc ne autorun datei welche den trojaner immer startet wenn ich auf die karte zugreifen will. ebenfalls schreibgeschützt |
Bifrost sendet von alleine gar nichts, nur Dein Remote-Admin kann mit Dir machen, was er will, also alles was Du kannst, dass könnte er auch. :) Mit dieser Handysache kenne ich mich nicht aus, vielleicht kann Dir da ja ein anderer helfen. |
hm ok. hab ich mir gedacht. (kenne Bifrost aus nem forum hab mich aber nie damit wirklich beschäftigt. naja. der heini hat nichts gemacht bei/mit mir bzw meinem PC. Nachher werd ich dann mein System neu aufsetzen, allerdings hab ich ihmo noch das problem meiner daten"rettung". sollt ich meine ganzen daen (bilder, musik, video etc) aufgeben oder kann ich sie eventuell z.B. auf ner externen platte zwischenspeichern? |
Du bist mindestesns genau so ein Heini, denn Du hast mit Cracks gespielt. Und was er gemacht hat, das weißt Du doch gar nicht. :rolleyes: Deine Bilder und so kannst auf ner externen Platte sichern. Auch die *.exen eigentlich auch, denn "er" hat ja nichts gemacht. :aplaus: |
joar... problem is, ich hab keine externe festplatte und lösch garde n haufen unnötiges zeug um weniger speicherplatz zu brauchen, könnte ich teorethisch auch per lan-kabel all meine daten auf nen andren PC schieben oder laufe ich da gefahr auch dort dann den trojaner mitzuschleppen? |
eine Sicherung auf einen anderen PC geht sehr gut, sieh dir mal UltraVNC: Remote Support Software, Remote Support tool, Remote Desktop Control, Remote Access Software, PC Remote Control an. sichere keine ausführbaren Dateien, dann klappt das schon. Übrigens: es wäre easy, mit Bifrost in Deinen Files "aufzuräumen", denke zukünftig an Backups, denn auch ne Festplatte kann mal kaputt gehen. |
danke schau ich mir mal an. nich nur aufräumen könnt der. da n bissle was löschen, und da und da und windoof geht nemmer. da hilft dann auch nurnoch windoof reparieren oder neuaufsetzen |
Hi, nicht reparieren sondern richtig neuinstallieren. Reparatur mag manchmal helfen, da dabei die installierten Programme installiert bleiben und nicht neu installiert werden müssen (hab aber auch schon Fälle gehabt, da war danach alles kaputt). Bloß unterscheidet die Reparatur bei "installierten Programmen" nicht zwischen Gut und Böse, deshalb ist sie kein Mittel, Malware loszuwerden. Mehr was für zerschossene Registrydateien usw., wobei es auch für diese Fälle wesentlich tauglichere Mittel gibt. Gruß, Karl |
danke für all die antworten aber hat sich nu erledigt. hab vorn paar tagen mein system neu aufgesetzt (vorher festplatte mit "Boot and Nuke" komplett platt gemacht ^^ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board