Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: c:\windows\system32\gzmrotate.dll - Trojaner eingefangen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.09.2007, 21:12   #1
Knufflchen
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hallo an alle!

Beim Versuch ein Spiel downzuloaden, habe ich mir obigen Trojaner eigenfangen und bin dementsprechend verunsichert. Wenn ich meinen PC hochfahre, kommt jedesmall diese Fehlermeldung.

Vielleicht kann mir jemand von Euch helfen, diesen lästigen Trojaner zu entfernen?

Ihr seid meine letzte Hilfe! Muß auch dazu sagen, daß ich was das anbelangt kompletter Neuling bin!

Wäre echt toll, wenn sich jemand "erbarmen" würde :O)!
Miniaturansicht angehängter Grafiken
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen-fehlermeldung.gif  

Alt 03.09.2007, 21:24   #2
Jaipur
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hallo Knufflchen,

Zitat:
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen
hört sich gar nicht gut an.

Poste ein HijackThis Log http://www.trojaner-board.de/17493-a...ijackthis.html und lasse die oben genannte Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten und poste hier anschliessend das Ergebnis.

Beste Grüße

Jaipur
__________________


Alt 03.09.2007, 21:31   #3
terayaki
Gast
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Mache einfach mal folgendes:

Lade die von dir angegebene Datei die diesen Fehler verursacht einfach einmal bei virustotal oder bei jotti hoch und scanne diese. Dannach postest du das Ergebniss wieder hierher. Und genauso kannst du ein HJT logfile erstellen und ins Forum posten. Wie das geht und andere Erklärungen findest du unten in meiner Signatur.



LG, Terayaki
__________________

Alt 04.09.2007, 20:05   #4
Knufflchen
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hallo Terayaki & Jaipur!

Vielen Dank für Eure promte Antwort. Die Erstellung eines Hijacks ist übrigens toll beschrieben, sodaß dies ein Laie wie ich mühelos schafft

Folgendes wurde ausgespuckt:

Logfile of HijackThis v1.99.1
Scan saved at 20:54:17, on 04.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\acer\KnobService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\mHotMon.exe
C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
C:\acer\KnobMonitor.exe
C:\ACER\MPS.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Creative Professional\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =

http://www.directsearchzone.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://global.acer.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)
O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - (no

file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} -

C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} -

C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: adssite - {F31B3634-12AA-41ca-B021-0685C3B3E4CA} - C:\WINDOWS\system32\nsf145.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} -

C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [SSER] sser.exe
O4 - HKLM\..\Run: [mHotmon] mHotMon.exe
O4 - HKLM\..\Run: [Aspire Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [KnobMonitor] C:\acer\KnobMonitor.exe
O4 - HKLM\..\Run: [MPS] C:\ACER\MPS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader

8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [adstart] C:\WINDOWS\System32\Rundll32.exe

"C:\WINDOWS\system32\gzmrotate.dll" DllVerify
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\RunServices: [Windows Security] ms32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1

187913726187
O17 - HKLM\System\CCS\Services\Tcpip\..\{071C1218-358B-4395-BC31-C29BB70B681A}: NameServer =

195.34.133.21,195.34.133.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{071C1218-358B-4395-BC31-C29BB70B681A}: NameServer =

195.34.133.21,195.34.133.22
O17 - HKLM\System\CS2\Services\Tcpip\..\{071C1218-358B-4395-BC31-C29BB70B681A}: NameServer =

195.34.133.21,195.34.133.22
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION -

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Knob Service (KNOBSERV) - Acer Inc. - c:\acer\KnobService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) -

Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH -

C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

____________________________

Habe, wie empfohlen, "c:\windows\system32\gzmrotate.dll" unter Virus Total versucht zu scannen. Die Datei wurde nicht gefunden

So, die Herrn Doktoren. Was könnten denn nun die nächsten Schritte für unseren Patienten sein?!?!

Es grüßt Euch lieb, Knufflchen!

Alt 04.09.2007, 20:32   #5
Peking-Ente1
Gast
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hi Knufflchen

Die erste *Frau Doktor* meldet sich zu Wort und gibt erste Hilfe, um eine Diagnose erstellen zu können.....

Sieht allerdings nicht gut aus, ich warne Dich vor......

Lade bitte die folgenden, fett markierten Dateien bei VirusTotal hoch und poste die Ergebnisse inklusive Dateigröße:

C:\WINDOWS\system32\nsf145.dll

C:\Programme\webHancer\Programs\whagent.exe


Am meisten Sorgen bereiten mir aber diese beiden Einträge, schau hier:

O4 - HKCU\..\RunServices: [Windows Security] ms32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif


Die *04* Einträge bedeuten, daß es sich der Schädling bei Dir *gemütlich* gemacht hat, er wird bei jedem Systemstart immer automatisch mitgeladen, und ist dementsprechend sofort aktiv. Nicht gut.....

Es handelt sich um einen Netzwerkwurm, siehe Link:

W32/Rbot-AQT - Spyware-Wurm - Sophos Bedrohungsanalyse

Das heißt format : C, und anschließende gründliche Basisabsicherung, damit Du in Zukunft von solchen *Krankheiten* verschont bleibst.....

Für die Zukunft:

Zitat:
Beim Versuch ein Spiel downzuloaden, habe ich mir obigen Trojaner eigenfangen und bin dementsprechend verunsichert. Wenn ich meinen PC hochfahre, kommt jedesmall diese Fehlermeldung.
Einen Trojaner *fängt* man sich nicht ein, sondern installiert sich diesen, wie Du das ja beim Download gemacht hast. Hier wäre 1. Priorität gewesen, zu prüfen, ob es sich um eine seriöse Seite und Quelle handelt, und selbst dann vorm Installieren das Spiel erst auf der Platte lokal zu speichern und scannen zu lassen, möglichst bei VirusTotal, sofern es die Dateigröße zuläßt, und erst dann zu installieren.

Das nur mal so am Rande erwähnt.

Grüße


Geändert von Peking-Ente1 (04.09.2007 um 20:36 Uhr) Grund: Ergänzung

Alt 04.09.2007, 20:46   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hallo.

Du hast da leider einige böse Einträge/Dateien im System u.a. diese hier:

C:\WINDOWS\mHotMon.exe
C:\WINDOWS\system32\nsf145.dll
ms32.pif
msw32.pif


Letztere Datei stammt mit an Sicherheit grenzender Wahrscheinlichkeit von diesem Rbot-Ableger - da der Rbot Backdoorfunktionen hat und somit Dritten den unbefugten Vollzugriff auf deinen Computer ermöglicht, musst du leider das System neu aufsetzen - eine andere sichere Möglichkeit gibt es nicht. Eine bebilderte Anleitung findest du z.B. hier.

Wenn du das System frisch wieder aufgezogen und abgesichert hast, solltest du auch sicherheitshalber alle Passwörter ändern.

//Edit: Hallo Peking-Ente!
__________________
--> c:\windows\system32\gzmrotate.dll - Trojaner eingefangen

Alt 04.09.2007, 20:53   #7
Peking-Ente1
Gast
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



[OT]

Hi, cosinus.

Grüße aus dem *Pott*.

Peking-Ente

Alt 05.09.2007, 17:37   #8
Knufflchen
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hallo Peking Ente & auch Cosinus sei mir lieb gegrüßt!

Gerade habe ich die erste Datei "C:\WINDOWS\system32\nsf145.dll" über VirusTotal durchlaufen lassen mit folgendem Ergebnis:

Datei nsf145.dll empfangen 2007.09.05 18:16:59 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 4/32 (12.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.5.0 2007.09.05 -
AntiVir 7.6.0.5 2007.09.05 ADSPY/Adssite.A
Authentium 4.93.8 2007.09.05 -
Avast 4.7.1029.0 2007.09.05 -
AVG 7.5.0.485 2007.09.05 -
BitDefender 7.2 2007.09.05 -
CAT-QuickHeal 9.00 2007.09.05 -
ClamAV 0.91.2 2007.09.05 -
DrWeb 4.33 2007.09.05 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5111 2007.09.05 -
Ewido 4.0 2007.09.05 -
FileAdvisor 1 2007.09.05 -
Fortinet 3.11.0.0 2007.09.05 -
F-Prot 4.3.2.48 2007.09.05 -
F-Secure 6.70.13030.0 2007.09.05 -
Ikarus T3.1.1.12 2007.09.05 -
Kaspersky 4.0.2.24 2007.09.05 -
McAfee 5112 2007.09.04 -
Microsoft 1.2803 2007.09.05 -
NOD32v2 2507 2007.09.05 -
Norman 5.80.02 2007.09.05 -
Panda 9.0.0.4 2007.09.05 -
Prevx1 V2 2007.09.05 Generic.Malware
Rising 19.39.22.00 2007.09.05 -
Sophos 4.21.0 2007.09.05 Mal/Heuri-E
Sunbelt 2.2.907.0 2007.09.05 -
Symantec 10 2007.09.05 -
TheHacker 6.1.9.178 2007.09.05 -
VBA32 3.12.2.3 2007.09.04 -
VirusBuster 4.3.26:9 2007.09.05 -
Webwasher-Gateway 6.0.1 2007.09.05 Ad-Spyware.Adssite.A
weitere Informationen
File size: 64512 bytes
MD5: 7a837bba1dfcefb2c3c9c1f2e9bad52b
SHA1: 6a88af5f37db357daabbd5aa5495ac27c2dcb812
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=3E96445B00CDCC02FCB4000636FDD000D2C9E959
_________________________________

Das Ergebnis aus der "C:\Programme\webHancer\Programs\whagent.exe"-Datei:

Datei whagent.exe empfangen 2007.09.05 18:27:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 13/32 (40.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 7.
Geschätzte Startzeit is zwischen 65 und 93 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.5.0 2007.09.05 -
AntiVir 7.6.0.5 2007.09.05 -
Authentium 4.93.8 2007.09.05 -
Avast 4.7.1029.0 2007.09.05 -
AVG 7.5.0.485 2007.09.05 Adware Generic2.IKL
BitDefender 7.2 2007.09.05 Spyware.Webhancer.AE
CAT-QuickHeal 9.00 2007.09.05 -
ClamAV 0.91.2 2007.09.05 Adware.Webhancer-10
DrWeb 4.33 2007.09.05 DLOADER.Trojan
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5111 2007.09.05 -
Ewido 4.0 2007.09.05 -
FileAdvisor 1 2007.09.05 -
Fortinet 3.11.0.0 2007.09.05 Adware/WebHancer
F-Prot 4.3.2.48 2007.09.05 -
F-Secure 6.70.13030.0 2007.09.05 -
Ikarus T3.1.1.12 2007.09.05 -
Kaspersky 4.0.2.24 2007.09.05 -
McAfee 5112 2007.09.04 potentially unwanted program Spyware-WebHancer
Microsoft 1.2803 2007.09.05 Spyware:Win32/WebHancer
NOD32v2 2507 2007.09.05 probably a variant of Win32/Adware.Webhancer.A
Norman 5.80.02 2007.09.05 -
Panda 9.0.0.4 2007.09.05 Adware/WebHancer
Prevx1 V2 2007.09.05 Generic.Malware
Rising 19.39.22.00 2007.09.05 -
Sophos 4.21.0 2007.09.05 Webhancer
Sunbelt 2.2.907.0 2007.09.05 -
Symantec 10 2007.09.05 Trackware.Webhancer
TheHacker 6.1.9.178 2007.09.05 -
VBA32 3.12.2.3 2007.09.04 suspected of Malware.Agent.18 (paranoid heuristics)
VirusBuster 4.3.26:9 2007.09.05 -
Webwasher-Gateway 6.0.1 2007.09.05 -
weitere Informationen
File size: 565248 bytes
MD5: 542a0dfe88e34245788a1968ef83b7ec
SHA1: a2351376b95be120f58c51dd147734e4c12efebf
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=E078D18300EC69FAA0AE0821AAE85300266B58BB
________________________________

... find ja schon mal Wahnsinn, daß ihr damit überhaupt was anfangen könnt - ich selbst verstehe nur Bahnhof.

Deine Tipps (Peking Ente) werde ich in Zukunft beherzigen.

Wie aber soll ich jetzt weitervorgehen?

Liebe Grüße!

Alt 05.09.2007, 17:47   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Zitat:
Wie aber soll ich jetzt weitervorgehen?
Haben wir dir weiter oben schon geschrieben. Rbot-Befall heißt System neu aufsetzen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.09.2007, 18:58   #10
Peking-Ente1
Gast
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Hallo Knufflchen

Nach format : C solltest Du aber ein paar Sachen beherzigen, sonst bist Du schneller wieder verseucht, als Du gucken kannst.

Wie gehst Du ins I-net? Modem oder Router?

Bei 1. ) Nach format : C und neuinstall und vor dem 1. Onlinegang das SP2 installieren (vermutlich auf der Win-XP-CD), dann die Win-XP-Firewall aktivieren, auf die Microsoft-Seite gehen und alle Updates saugen.

Für die Zukunft schreibe ich Dir mal ein paar Sachen auf:

Weniger ist mehr, damit meine ich, nicht viele Programme zu installieren, die Dich nicht so schützen können, wie Du es Dir wünschst, sondern die Angriffsfläche verkleinern.

Als Virenscanner empfehle ich AntiVir, den Du ja bereits benutzt. Der ist ok, hat auch eine gute Erkennung, muß halt manuell geupdatet werden, aber dafür ist es auch kostenlos.

Wenn Du über einen Router ins Internet gehst, würde ich keine zusätzliche Firewall dazu kaufen, oder gar installieren, wenn überhaupt, dann die Win-XP-Firewall, die aber bei einem Router durch dessen integrierte Hardware-Firewall entbehrlich ist, da sie vor dem zu schützenden PC läuft.

Wenn Du ein Modem hast, würde ich das System folgendermaßen *abhärten*:

NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de

Dieses Script schließt nicht benötigte Ports auf Deinem Rechner und deaktiviert Dienste, die nicht gebraucht werden. Das meine ich u. a. mit *Minimierung der Angriffsfläche*. Bzgl. dieses Tools, wenn Du noch Fragen dazu hast, dann stelle sie. Beim Routergebrauch wie gesagt, nicht nötig.

Wichtig wäre ferner noch:

--> surfen nur mit einem eingeschränkten Benutzerkonto, Link:

Cidres-security.de - Mit Sicherheit durchs Netz! - Eingeschränktes Benutzerkonto

--> Betriebssystem und alle Anwendungen, die auf das Internet zugreifen, stets aktuell halten, Stichwort: automatisches Windows-Update aktivieren, Browser, Java etc. in der aktuellsten Version betreiben

--> nicht mit dem InternetExplorer surfen, sondern stattdessen lieber Firefox oder Opera nehmen, da beide auf Active-X-Scripting verzichten, Links:

Download Firefox

Download Opera Web Browser

Du kannst beide Browser installieren und parallel betreiben, das hat den Vorteil, daß Du in Ruhe entscheiden kannst, welcher Dir besser gefällt. Den IE nur für die automatischen Windows-Updates nutzen.

--> JavaScript deaktivieren, nur wenn es gebraucht wird (z. B. beim Online-Kauf) aktivieren

--> als Mailclient dementsprechend nicht OutlookExpress, sondern lieber Thunderbird oder Operamail nehmen, Nachrichten nur als TEXT senden und empfangen, HTML deaktivieren, da ebenfalls mögliches Einfallstor für Schädlinge

--> File-Sharing und Warez-Seiten prinzipiell meiden

--> Vorsicht bei Klicks, beim Surfen generell aufpassen

--> Vorsicht ebenfalls bei der Nutzung eines Messenger-Programmes wie ICQ o. ä. walten lassen, niemals Links anklicken, auch wenn sie vorgeblich von Freunden kommen, hier haben sich schon viele ahnungslose User mit einem Messenger-Wurm verseucht und durften im Nachhinein formatieren

--> Dateien aus Mailanhängen (auch wenn sie von Freunden stammen) oder aus dem Internet nie ungeprüft öffnen, erst lokal auf der Platte speichern und vor der Installation einem Virenscan unterziehen, Link:

VirusTotal - Free Online Virus and Malware Scan

Wenn Du das alles beherzigst, hast Du schon viel für Deine Sicherheit getan.

Last but not least, in regelmäßigen Abständen ein Backup vom System machen, das spart viel Zeit und Ärger, idealerweise als Image auf einem separaten Datenträger.

Grüße

P. S.

gute Lektüre:

Homepage von Malte J. Wetz

Geändert von Peking-Ente1 (05.09.2007 um 19:06 Uhr) Grund: Ergänzung

Alt 05.09.2007, 21:03   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Frage

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Ist die Peking-Ente gelöscht?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.09.2007, 13:55   #12
Zera
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



brauch bitte etwas hilfe! bei mir kommt die gleiche fehlermeldung!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 22.09.2007, 13:29   #13
Ambusher
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



ich hab genau das selbe problem

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 10.10.2007, 15:31   #14
Brotkasten
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Standard

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



hey hey. hab ungefähr das gleiche problem wie die anderen hier.

[edit]
stimmt du beachtest die forenregeln nicht...

GUA
[edit]

Alt 27.12.2007, 10:12   #15
BLIZZERD
 
c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Icon22

c:\windows\system32\gzmrotate.dll - Trojaner eingefangen



Uh mein Fehler

Geändert von BLIZZERD (27.12.2007 um 10:16 Uhr) Grund: sorry hab einen Treat aufgemacht kan man diesen Beitrag Löschen

Antwort

Themen zu c:\windows\system32\gzmrotate.dll - Trojaner eingefangen
c:\windows, eingefangen, entferne, entfernen, gefangen, gen, helfen, hilfe!, kompletter, lästige, neuling, spiel, system, system32, troja, trojaner, trojaner eingefangen, versuch, windows, würde



Ähnliche Themen: c:\windows\system32\gzmrotate.dll - Trojaner eingefangen


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  3. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  4. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  5. C:\WINDOWS\System32\winlogon.exe Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 22.01.2011 (3)
  6. C:\Windows\system32\sshnas21.dll -- Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (32)
  7. Trojaner in C:\Windows\System32\tdlcmd.dll
    Mülltonne - 17.12.2009 (2)
  8. Trojaner in C:\WINDOWS\system32\MSIVXcount
    Plagegeister aller Art und deren Bekämpfung - 15.08.2009 (1)
  9. Fehler beim laden von C:/windows/system32/gzmrotate.dll ... HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 02.02.2009 (0)
  10. gzmrotate
    Mülltonne - 23.01.2008 (1)
  11. TR.Drop.Agent.dgo.227 eingefangen - C:Windows\system32\pmkkj.exe nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (0)
  12. gzmrotate.dll-Trojaner? HJT-Log File-Hilfe, bitte.
    Log-Analyse und Auswertung - 14.11.2007 (7)
  13. C:\WINDOWS\system32\gzmrotate.dll rightonadz browser optimizer
    Log-Analyse und Auswertung - 29.10.2007 (0)
  14. Fehler beim laden von C:\Windows\System32\gzmrotate.dll
    Log-Analyse und Auswertung - 28.10.2007 (0)
  15. Trojaner Angriff gzmrotate Problem
    Log-Analyse und Auswertung - 09.10.2007 (1)
  16. Fehler beim laden von C:\Windows\System32\gzmrotate.dll
    Plagegeister aller Art und deren Bekämpfung - 09.10.2007 (1)
  17. Trojaner C:\WINDOWS\System32\vbsys2.dll
    Plagegeister aller Art und deren Bekämpfung - 20.10.2005 (10)

Zum Thema c:\windows\system32\gzmrotate.dll - Trojaner eingefangen - Hallo an alle! Beim Versuch ein Spiel downzuloaden, habe ich mir obigen Trojaner eigenfangen und bin dementsprechend verunsichert. Wenn ich meinen PC hochfahre, kommt jedesmall diese Fehlermeldung. Vielleicht kann mir - c:\windows\system32\gzmrotate.dll - Trojaner eingefangen...
Archiv
Du betrachtest: c:\windows\system32\gzmrotate.dll - Trojaner eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.