Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner W32/Gael

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.07.2005, 20:01   #1
moreno111
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



hi!!


Mcafee findet diesen Virus bei mir aber der lässt sich einfach nicht entfernen der befälltimmer mehr dateien!!!wie bekomme ich den weg?wäre nett wenn mir jemand helfen könnte!!!

mfg moreno111

Alt 17.07.2005, 20:14   #2
Haui45
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



Hallo,

welche Dateien meldet McAfee als infiziert?

Poste ein HijackThis-Logfile.
__________________


Alt 17.07.2005, 20:42   #3
moreno111
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



hi!

hier mal die log file:

Logfile of HijackThis v1.99.1
Scan saved at 20:40:57, on 17.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\oodag.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\FRAPS\FRAPS.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Valve\Steam\Steam.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\Mo\LOKALE~1\Temp\SQZ4D.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115567490734
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2132D82A-8F56-49DC-AF24-ABE689DB2555}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

infiziert sind .exe dateien auf mehreren partitionen!!

mfg moreno111
_____________
Anm.
Aktive Links editiert!


Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB
__________________

Geändert von Cidre (17.07.2005 um 22:01 Uhr)

Alt 17.07.2005, 20:59   #4
The Saint
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



@moreno111!

Zitat:
infiziert sind .exe dateien auf mehreren partitionen!!
Welche?

Erstelle ein eScanlogfile lt. Cidre's Anleitung

Weiters deaktiviere alle Links in deinem HijackThis logfile zb. so: http in h**p

Alt 17.07.2005, 21:03   #5
moreno111
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



hi!!!

also der virus befindet u.a im system restore auf 2 partionen,dann sind alle dateien auf D: im appz ordner infiziert,z.b realplayer.exe,icq.exe und so weiter kann nicht alle dateien nennen sind zu viele!das mit der systemwiederherstellung hab ich schon versucht,hat aber nicht so wirklich geklappt!???

mfg moreno111


Alt 17.07.2005, 21:10   #6
The Saint
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



Zitat:
Zitat von moreno111
hi!!!

also der virus befindet u.a im system restore auf 2 partionen,dann sind alle dateien auf D: im appz ordner infiziert,z.b realplayer.exe,icq.exe und so weiter kann nicht alle dateien nennen sind zu viele!das mit der systemwiederherstellung hab ich schon versucht,hat aber nicht so wirklich geklappt!???

mfg moreno111
Erstelle vorerst einmal eScanlogfile lt. Cidre's Anleitung

Alt 17.07.2005, 21:14   #7
Haui45
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



eScan wir dir nicht weiterhelfen, da es ein "echter Virus" ist, d.h. er infiziert andere Dateien.

Entweder du setzt das System gleich neu auf (Anleitung) oder du versuchst es mal mit einem Scan mit McAfee im abgeischerten Modus.

Abgesehen vom Neuaufsetzen wäre es am besten, wenn du einen Virenscanner verwendest, der sein eigenes Minimal-OS mitbringt (AVK hat sowas - aber die CD kostet natürlich was). Eine kostenlose Variante wäre ein Virenscan mit Kantonix. Dazu brauchst du aber einen sauberen Zweit-PC (zum Download von Kantonix).

Alt 17.07.2005, 22:35   #8
moreno111
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



hi also escan hat das hier gefunden!!


Sun Jul 17 21:25:46 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.

Sun Jul 17 22:03:26 2005 => File C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.


mcafee findet den virus w32/gael wie gehabt!!!

also was tun???

mfg moreno111

Alt 17.07.2005, 22:47   #9
Cidre
Administrator, a.D.
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



Zitat:
C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus!
Hierbei handelt sich IMO um einen Fehlalarm!

Schicke bitte diese Datei zur Überprüfung an Kaspersky, wie hier beschrieben.

btw:
Haui45 hat dir die Alternativen schon aufgezeigt.
__________________
Gruß, Cidre


Alt 18.07.2005, 14:37   #10
Psy25
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



Hi!
Hatte heute früh auch diese nachricht beim Escan:

Zitat:
C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus!
Allerdings, stand dann bei mir noch, das er es renamed hat.

Was hat es nun zu bedeuten?
Muss ich jetzt, das System neu aufsetzen,oder ist es auch nen Fehlalarm, wie von Cidre beschrieben?
Eine neues Update von escan vorhin und ein wiederholter Scan ergab keine befunde. Bin jetzt ratlos.
Hoffe,ihr könnt mir da weiterhelfen.


MFG Psy

Alt 18.07.2005, 15:17   #11
Cidre
Administrator, a.D.
 
Trojaner W32/Gael - Standard

Trojaner W32/Gael



Zitat:
Allerdings, stand dann bei mir noch, das er es renamed hat.
Dann verwendest du eine alte Version von eScan, die noch automatisch löschen konnte.
Zitat:
Muss ich jetzt, das System neu aufsetzen,oder ist es auch nen Fehlalarm, wie von Cidre beschrieben?
Letzteres solltest IMO zutreffender sein.
Wenn es denn irgendjemand mal gebacken kriegt und die Datei an Kaspersky senden würde, wüßten wir es genauer...
Zitat:
wiederholter Scan ergab keine befunde
Ist klar, der Fehlalarm wurde ja umbenannt.
__________________
Gruß, Cidre


Antwort

Themen zu Trojaner W32/Gael
dateien, einfach, entferne, entfernen, troja, trojaner, virus




Zum Thema Trojaner W32/Gael - hi!! Mcafee findet diesen Virus bei mir aber der lässt sich einfach nicht entfernen der befälltimmer mehr dateien!!!wie bekomme ich den weg?wäre nett wenn mir jemand helfen könnte!!! mfg moreno111 - Trojaner W32/Gael...
Archiv
Du betrachtest: Trojaner W32/Gael auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.