Hi Leute!

hab mal wieder Probleme mit den blöden Trojaner und Viren, dieses mal geht es um einen Trojaner mit dem Namen TR/Crypt.FKM.Gen der in der Datei C:\Windows\system32\gauotadli.exe angezeigt wird, wenn ich ihn mit AntiVir lösche kommt er immer wieder hab gleich mal ein HijackThis Scan gemacht, vielleicht kann mir einer helfen, Danke im Voraus!

---------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:45:41, on 13.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
G:\Programme\ICQ6\ICQ.exe
C:\Program Files\AIM6\aim6.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\AIM6\aolsoftware.exe
C:\Windows\system32\gauotadli.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Programme\Opera 9.5\opera.exe
D:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
G:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tnawrestling.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - g:\Programme\Xi\NetXfer\NXIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Microsoft OCX] C:\Windows\system32\gauotadli.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows MSN Live Messanger] livemsngs.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "g:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Aim6] "C:\Program Files\AIM6\aim6.exe" /d locale=de-DE ee://aol/imApp /HIDEBL
O4 - HKCU\..\Run: [SpybotSD TeaTimer] g:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Program Files\Common Files\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - g:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - g:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - g:\Programme\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDEBE46A-F2E7-4F5B-910C-C72D5F6FE2CA}: NameServer = 192.168.111.140
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxcg_device - - C:\Windows\system32\lxcgcoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - g:\Programme\Spybot - Search & Destroy\SDWinSec.exe

--
End of file - 8058 bytes

Hallo und

Sieht böse aus, denn die Datei ist neben einer anderen aktiv.

Lasse die von dir genannte Datei bei www.virustotal.com hochladen und auswerten. Poste das komplette Ergebnis hier und mache das Gleiche mit dieser Datei:

Zitat:

livemsngs.exe

Dabei machst du Rechtsklick auf den Start Button und gehst auf Suchen...
Lasse dabei auch alle versteckten Dateien durchsuchen..

mfg

Danke schonmal!

gauotadli.exe

MD5: f95893f180fd8fed16f27b13790382dd
First received: 2007.08.08 19:30:46 (CET)
Datum 2008.05.25 09:58:51 (CET) [>49D]
Ergebnisse 32/32
Permalink: analisis/37f93c2b5765feb3bb54ce5e719918f8

---

livemsngs.exe (auch unter c:/Windows/system32 zu finden?)

0 bytes size received / Se ha recibido un archivo vacio

Bitte komplettes Ergebnis der Analyse posten, sprich das, was die 32 AV gefunden haben

Zu der zweiten Datei, weißt du, wo sie sich befindet?

Zitat:

Zitat von Dark Viruz

Bitte komplettes Ergebnis der Analyse posten, sprich das, was die 32 AV gefunden haben

so meinste?

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win32/IRCBot.worm.variant
AntiVir - - TR/Crypt.FKM.Gen
Authentium - - W32/Ircbot.1!Generic
Avast - - Win32:Rbot-ERZ
AVG - - IRC/BackDoor.SdBot3.QLQ
BitDefender - - GenPack:Generic.Sdbot.54A63E7A
CAT-QuickHeal - - Backdoor.Rbot.cqi
ClamAV - - Exploit.DCOM.Gen
DrWeb - - BackDoor.IRC.Sdbot.1988
eSafe - - Win32.Rbot.cqi
eTrust-Vet - - Win32/Rbot!generic
Ewido - - Backdoor.Rbot.cqi
F-Prot - - W32/Ircbot.1!Generic
F-Secure - - Backdoor.Win32.Rbot.cqi
Fortinet - - W32/RBot.IA!tr.bdr
GData - - Backdoor.Win32.Rbot.cqi
Ikarus - - Backdoor.Win32.Rbot.eiq
Kaspersky - - Backdoor.Win32.Rbot.cqi
McAfee - - W32/Sdbot.worm.gen.q
Microsoft - - Backdoor:Win32/Rbot.gen
NOD32v2 - - probably a variant of Win32/Rbot
Norman - - W32/Spybot.BULT
Panda - - W32/Sdbot.KYZ.worm
Prevx1 - - Worm
Rising - - Backdoor.SdBot.wkz
Sophos - - Mal/IRCBot-B
Sunbelt - - Backdoor.SDBot
Symantec - - W32.Spybot.Worm
TheHacker - - Backdoor/Rbot.cqi
VBA32 - - Backdoor.Win32.Rbot.cqi
VirusBuster - - Worm.RBot.Gen.21
Webwasher-Gateway - - Trojan.Crypt.FKM.Gen
weitere Informationen
MD5: f95893f180fd8fed16f27b13790382dd
SHA1: 388443aab292ca176def3f813a4532239960cde9
SHA256: bedfcd6e5bcca4e4087658e91ec8f6d1b9f6875ee71608d67879246bcc59aac0
SHA512: 1044a659b0978b8089ec364e69c4560529cae73431d218cf6fac974b05cabce1e4b1f2177fee800ee9a2d12341967ad3d71349ec3fbabfcd4ea2d14c6b34d729

Zitat:

Zitat von Dark Viruz

Zu der zweiten Datei, weißt du, wo sie sich befindet?

nee aber ich denke mal die gehört zu MSN bzw. Windows Live

Danke nochmals!

Sieht garnicht gut aus für dich, du hast einen aktiven Backdoor Server aus der Rbot/SDBot Familie, das heißt für dich:

- alle Zugangsdaten und Passwörter von einem sauberen Rechner ändern
- Konten wie ebay, PayPal und Online Banking sperren lassen
- Dich mit deiner Bank in Verbindung setzen
- Neuaufsetzen, genau nach der Anleitung

Falls du noch Fragen, insbesondere der Infektion hast, kannst du sie gerne stellen.

Zu der zweiten Datei, ich denke nicht, das diese zu MSN gehört, aber das erübrigt sich ja durch den Backdoor Server.

mfg

Edit: Nebenbei solltest du den Rechner physikalisch vom Netz trennen, da du kostenloses Mitglied in einem sog. Bot-Netz bist.

na okay, wenn wirklich nichts anderes geht dann halt so :-/

Trotzdem Danke!

Keine Ursache, die paar Stunden Arbeit sind sicher besser wie ein leeres Bankkonto

mfg