Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner geeda.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.03.2008, 16:42   #1
horstpeter
 
Trojaner geeda.dll - Standard

Trojaner geeda.dll



Hallo, ich habe seit heute morgen einen Trojaner auf meinem Rechner, habe mehrmals Antivir und Ad-aware druchlaufen lassen aber hat leider nichts geholfen.
Das ganze scheint irgendwas mit einer Datei names geeda.dll im system32 Ordner zu tun haben.
Ich hoffe hier kann mit jemand weiterhelfen. Ich habe leider von solchen Sachen keine Ahnung.

Hier hab ich mal das HijackThis Zeugs

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:23, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://kingkongsearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfre1.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\
O3 - Toolbar: (no name) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - (no file)
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfre1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://d:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://d:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Do&wnload selected by Orbit - res://d:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://d:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157201259968
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C9E60CC-A206-4355-89ED-C30C8EE2900A}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: hugo - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7965 bytes


MfG

Alt 27.03.2008, 17:25   #2
Sunny
Administrator
> Competence Manager
 

Trojaner geeda.dll - Standard

Trojaner geeda.dll



Hallo horstpeter und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:



CCleaner


Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "fixvundo" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren



ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix
__________________

__________________

Alt 27.03.2008, 18:18   #3
horstpeter
 
Trojaner geeda.dll - Standard

Trojaner geeda.dll



Ok, danke vielmals, ich hab das nun gemacht.
Hier mal das Zeug von Combofix:

ComboFix 08-03-26.1 - admin 2008-03-27 19:01:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1483 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ljjhecc.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NWSAPAGENT
-------\Legacy_{FBE1D620-5418-4AAE-A0F0-316D590663A1}
-------\Service_NwSapAgent
-------\Service_{FBE1D620-5418-4aae-A0F0-316D590663A1}


((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 18:56 . 2008-03-27 19:07 10,752 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-27 18:47 . 2008-03-27 18:54 <DIR> d-------- C:\VundoFix Backups
2008-03-27 18:43 . 2008-03-27 18:43 <DIR> d-------- C:\Programme\CCleaner
2008-03-27 17:05 . 2008-03-27 17:05 <DIR> d-------- C:\Programme\Trend Micro
2008-03-27 17:03 . 2008-03-27 17:03 9 --a------ C:\WINDOWS\system32\c8a85c85
2008-03-27 16:52 . 2008-03-27 16:52 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-03-27 15:27 . 2008-03-27 17:29 <DIR> d-------- C:\Programme\ewido anti-spyware 4.0
2008-03-27 12:14 . 2008-03-27 12:14 47,542 --a------ C:\tfgpk.exe
2008-03-27 12:14 . 2008-03-27 12:14 26,624 --a------ C:\WINDOWS\system32\mssrv32.exe
2008-03-27 12:14 . 2008-03-27 19:07 26,496 --a------ C:\WINDOWS\system32\drivers\Gwb35.sys
2008-03-27 12:14 . 2008-03-27 19:06 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-03-27 12:14 . 2008-03-27 12:14 2 --a------ C:\-928493916
2008-03-26 23:35 . 2008-03-26 23:35 <DIR> d-------- C:\Programme\Postal2
2008-03-26 14:05 . 2008-03-26 14:05 <DIR> d-------- C:\Logs
2008-03-22 11:31 . 2008-02-20 20:17 40,928 --a------ C:\WINDOWS\system32\drivers\VBoxDrv.sys
2008-03-22 11:31 . 2008-02-20 20:17 27,776 --a------ C:\WINDOWS\system32\drivers\VBoxUSBMon.sys
2008-03-22 11:09 . 2008-03-22 11:23 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\VMware
2008-03-22 11:06 . 2008-03-22 11:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-03-22 11:05 . 2008-03-22 11:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-03-22 11:05 . 2008-03-04 13:22 10,240 -ra------ C:\WINDOWS\system32\drivers\vmnet.sys
2008-03-22 11:05 . 2008-03-04 13:22 9,600 -ra------ C:\WINDOWS\system32\drivers\vmnetadapter.sys
2008-03-22 11:05 . 2008-03-04 13:22 5,120 -ra------ C:\WINDOWS\system32\vnetinst.dll
2008-03-22 11:04 . 2008-03-22 11:04 1,024 --a------ C:\.rnd
2008-03-15 21:14 . 2008-03-27 14:05 <DIR> d-------- C:\Programme\Pontifex II
2008-03-15 20:14 . 2008-03-15 20:14 <DIR> d-------- C:\Programme\OpenAL
2008-03-15 20:14 . 2008-03-15 20:14 409,600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-03-15 20:14 . 2008-03-15 20:14 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-03-11 01:18 . 2008-03-11 01:18 <DIR> d-------- C:\Sierra
2008-03-11 01:17 . 2008-03-11 01:17 <DIR> d-------- C:\WINDOWS\solcache
2008-03-11 01:17 . 1998-06-10 13:07 1,053,184 --a------ C:\WINDOWS\system32\SierraNW.dll
2008-03-11 01:17 . 1997-09-18 00:00 490,256 --a------ C:\WINDOWS\system32\Oleaut32.1
2008-03-11 01:17 . 1998-06-10 13:05 231,936 --a------ C:\WINDOWS\system32\SNWValid.dll
2008-03-11 01:17 . 1997-07-14 14:57 11,104 --a------ C:\WINDOWS\system32\Snwvalid.hlp
2008-03-10 23:10 . 2000-09-19 10:51 4,398 --a------ C:\WINDOWS\pharaoh.ico
2008-03-10 23:10 . 2000-09-19 10:51 2,238 --a------ C:\WINDOWS\ee.ico
2008-03-10 23:10 . 2000-09-19 10:51 766 --a------ C:\WINDOWS\zeus.ico
2008-03-10 23:10 . 1999-09-30 11:41 766 --a------ C:\WINDOWS\attwns.ico
2008-02-27 10:15 . 2008-02-27 10:15 <DIR> d-------- C:\Programme\Electronic Arts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 18:05 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Orbit
2008-03-27 17:59 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Skype
2008-03-27 17:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-27 17:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-27 16:28 --------- d-----w C:\Programme\MSN Messenger
2008-03-27 13:27 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-27 13:27 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-27 11:20 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-03-27 01:44 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\uTorrent
2008-03-26 22:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-26 12:22 --------- d-----w C:\Programme\World of Warcraft
2008-03-23 12:34 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\GetRightToGo
2008-03-22 09:33 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-03-22 09:33 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-03-22 09:33 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-03-08 19:35 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Hamachi
2008-03-01 17:16 --------- d-----w C:\Programme\DivX
2008-02-26 07:21 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-02-26 07:06 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Azureus
2008-02-24 12:59 --------- d-----w C:\Programme\InetConnector Proxy
2008-02-24 12:25 --------- d-----w C:\Programme\free-downloads.net
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-17 03:41 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-14 18:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt
2008-02-13 16:05 52,736 ----a-w C:\WINDOWS\ipuninst.exe
2008-02-12 20:48 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Armagetron
2008-02-12 20:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Armagetron
2008-02-09 18:16 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-02-02 17:08 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-02-01 10:58 --------- d-----w C:\Dokumente und Einstellungen\FU\Anwendungsdaten\Logitech
2008-01-29 21:30 4,096 ----a-w C:\WINDOWS\system32\drivers\nocashio.sys
2008-01-27 21:13 --------- d-----w C:\Programme\Microsoft Games
2008-01-21 18:31 286,720 ----a-w C:\WINDOWS\iun506.exe
2008-01-16 14:10 3,206,344 ----a-w C:\HOSPPAT.EXE
2008-01-16 14:10 265,396 ----a-w C:\DOS4GW.EXE
2008-01-10 14:27 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-03-28 06:23 1 ----a-w C:\Dokumente und Einstellungen\admin\SI.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B0023B8D-AFED-4FFF-8765-79A33E26B1E2}]
C:\WINDOWS\system32\geeda.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2008-02-24 13:25 1555480 --a------ C:\Programme\free-downloads.net\tbfre1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "C:\Programme\free-downloads.net\tbfre1.dll" [2008-02-24 13:25 1555480]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= C:\Programme\free-downloads.net\tbfre1.dll [2008-02-24 13:25 1555480]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-08-17 02:45 23120680]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 C:\WINDOWS\KHALMNPR.Exe]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 04:12 577536 C:\WINDOWS\soundman.exe]
"Adobe Reader Speed Launcher"="D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-05 16:03 185632]
"!ewido"="C:\Programme\ewido anti-spyware 4.0\ewido.exe" [2008-03-27 17:05 6283264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-27 19:06 11776 C:\WINDOWS\system32\WLCtrl32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-04 00:29 165784 d:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
--a------ 2006-02-13 17:33 214648 C:\Programme\Octoshape Streaming Services\admin\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2005-05-31 01:04 1415824 d:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"LmHosts"=2 (0x2)
"Apache2"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"XAMPP"=2 (0x2)
"SamSs"=2 (0x2)
"RasMan"=3 (0x3)
"AVGFwSrv"=2 (0x2)
"wscsvc"=2 (0x2)
"RSVP"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"d:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"d:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"61316:TCP"= 61316:TCP:
"56990:UDP"= 56990:UDP:UDP
"40542:UDP"= 40542:UDP:torrentftw

R0 Gwb35;Gwb35;C:\WINDOWS\system32\Drivers\Gwb35.sys [2008-03-27 19:07]
R1 SSHDRV57;SSHDRV57;C:\WINDOWS\system32\drivers\SSHDRV57.sys [2007-02-04 13:01]
R2 hugo;hugo;"C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt" --defaults-file="C:\Programme\MySQL\MySQL Server 5.0\my.ini" hugo []
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\plcndis5.sys [2004-05-17 10:21]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2008-02-02 08:55]
R3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\Drivers\LCcFltr.Sys [2003-12-17 09:50]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;C:\WINDOWS\system32\drivers\libusb0.sys [2007-03-20 10:33]
S3 A_USBETHMP;USB PowerPacket Network Adapter;C:\WINDOWS\system32\Drivers\usbethmp.sys [2004-11-22 15:58]
S3 FXDRV;FXDRV;J:\Fxdrv.sys []
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-12-05 15:26]
S3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2005-12-05 15:16]
S3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-12-05 15:27]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-12-05 15:22]
S3 idrmkl;idrmkl;C:\DOKUME~1\admin\LOKALE~1\Temp\idrmkl.sys []
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 XPADFL02;XPAD Filter Service 02;C:\WINDOWS\system32\DRIVERS\xpadfl02.sys [2006-12-24 04:15]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Autorun.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-03-27 18:04:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
__________________

Alt 27.03.2008, 19:06   #4
Sunny
Administrator
> Competence Manager
 

Trojaner geeda.dll - Standard

Trojaner geeda.dll




Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\drivers\Gwb35.sys
C:\WINDOWS\system32\drivers\vmnet.sys
C:\Programme\free-downloads.net\tbfre1.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.03.2008, 19:55   #5
horstpeter
 
Trojaner geeda.dll - Standard

Trojaner geeda.dll



Die Datei "C:\WINDOWS\system32\drivers\Gwb35.sys" lässt sich nicht hochladen - ich bekomme da dann nur eine weisse Seite und oben links steht "0 bytes size received / Se ha recibido un archivo vacio". Wenn ich sie mit Antivir scanne kommt als Ergebniss auch eine Warnung, aber mehr nicht. Keine Ahnung was das zu bedeuten hat ...

Die anderen zwei gehen



Datei vmnet.sys empfangen 2008.03.27 20:18:38 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 47 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.27 -
AntiVir 7.6.0.75 2008.03.27 -
Authentium 4.93.8 2008.03.27 -
Avast 4.7.1098.0 2008.03.27 -
AVG 7.5.0.516 2008.03.27 -
BitDefender 7.2 2008.03.27 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.27 -
DrWeb 4.44.0.09170 2008.03.27 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5648 2008.03.27 -
Ewido 4.0 2008.03.27 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.27 -
FileAdvisor 1 2008.03.27 -
Fortinet 3.14.0.0 2008.03.27 -
Ikarus T3.1.1.20 2008.03.27 -
Kaspersky 7.0.0.125 2008.03.27 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.27 -
NOD32v2 2979 2008.03.27 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.26 -
Prevx1 V2 2008.03.27 -
Rising 20.37.32.00 2008.03.27 -
Sophos 4.27.0 2008.03.27 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.27 -
TheHacker 6.2.92.256 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.27 -
Webwasher-Gateway 6.6.2 2008.03.27 -
weitere Informationen
File size: 10240 bytes
MD5: 4884732f3ddc6719e1bb9e5d73318e72
SHA1: 24f9e4325c93ce342bd482030e971b40cfad3e1d
PEiD: -

Datei tbfre1.dll empfangen 2008.03.27 20:31:11 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 44 und 63 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.26.0 2008.03.27 -
AntiVir 7.6.0.75 2008.03.27 -
Authentium 4.93.8 2008.03.27 -
Avast 4.7.1098.0 2008.03.27 -
AVG 7.5.0.516 2008.03.27 -
BitDefender 7.2 2008.03.27 -
CAT-QuickHeal 9.50 2008.03.26 -
ClamAV 0.92.1 2008.03.27 -
DrWeb 4.44.0.09170 2008.03.27 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5648 2008.03.27 -
Ewido 4.0 2008.03.27 -
F-Prot 4.4.2.54 2008.03.27 -
F-Secure 6.70.13260.0 2008.03.27 -
FileAdvisor 1 2008.03.27 -
Fortinet 3.14.0.0 2008.03.27 -
Ikarus T3.1.1.20 2008.03.27 -
Kaspersky 7.0.0.125 2008.03.27 -
McAfee 5261 2008.03.27 -
Microsoft 1.3301 2008.03.27 -
NOD32v2 2979 2008.03.27 -
Norman 5.80.02 2008.03.26 -
Panda 9.0.0.4 2008.03.26 -
Prevx1 V2 2008.03.27 -
Rising 20.37.32.00 2008.03.27 -
Sophos 4.27.0 2008.03.27 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.27 -
TheHacker 6.2.92.256 2008.03.27 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.27 -
Webwasher-Gateway 6.6.2 2008.03.27 -
weitere Informationen
File size: 1555480 bytes
MD5: 94edb9c5a4dc80467b60ce08c9dc2c20
SHA1: e7dbe956f66c121c8793889e128133a68dcf0002
PEiD: -


Antwort

Themen zu Trojaner geeda.dll
ad-aware, adobe, antivir, dateien, downloader, explorer, firefox, hijack, hijackthis, icq, internet, internet explorer, microsoft, mozilla, mozilla firefox, mysql server, nvidia, object, ordner, programme, rundll, server, shockwave, software, system, trojaner, unknown file in winsock lsp, urlsearchhook, windows, windows xp



Ähnliche Themen: Trojaner geeda.dll


  1. geeda.dll
    Plagegeister aller Art und deren Bekämpfung - 20.07.2007 (15)
  2. Trojaner geeda.dll
    Plagegeister aller Art und deren Bekämpfung - 06.07.2007 (8)
  3. Trojaner in geeda.dll
    Plagegeister aller Art und deren Bekämpfung - 03.09.2006 (2)

Zum Thema Trojaner geeda.dll - Hallo, ich habe seit heute morgen einen Trojaner auf meinem Rechner, habe mehrmals Antivir und Ad-aware druchlaufen lassen aber hat leider nichts geholfen. Das ganze scheint irgendwas mit einer Datei - Trojaner geeda.dll...
Archiv
Du betrachtest: Trojaner geeda.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.