Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dloader.gcgk und exp/java.gimsh.a.19

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.08.2008, 23:31   #1
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Hallo zusammen,

ich habe nach einem kompletten Systemscan mit Avira Antivirus 2 Funde gemeldet bekommen:

download_getright_setup.exe ist das trojanische Pferd TR/Dloader.gcgk und

...\anwendungsdaten\sun\java\deployment\cache\javapi\v1.0\jar\... enthält Erkennungsmuster des Exploits exp/java.gimsh.a.19.

Bei der ersten Datei habe ich den Verdacht, dass es sich hier um falschen Alarm handelt, denn die Setupdatei hatte ich eigentlich aus vertrauenswürdiger Quelle. Ich habe die damit installierte Version von Getright auch immer noch in Benutzung.

Kann mir jemand sagen, ob und was ich mir da eingefangen habe? Ist es mit einfachem Löschen der Dateien getan?

Ich hoffe sehr, dass mir jemand weiterhelfen kann.

Alt 01.08.2008, 23:41   #2
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Hallo,

poste bitte ein HijackThis Logfile, vergiss aber nicht alle aktiven Links unkenntlich zu machen!

mfg
__________________

__________________

Alt 01.08.2008, 23:50   #3
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Hier das Hijackthis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:45:09, on 01.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\STAMPIT\Binary\Stray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.1und1.de/links/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://sedoparking.com/domparking.php?id=827484&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: (no name) - {982E186D-7E13-45ac-9789-50B535246E28} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\Binary\Stray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Quicken 2007 Zahlungserinnerung.lnk = C:\Programme\Quicken2007\billmind.exe
O4 - Global Startup: Quicken 2008 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2008\billmind.exe
O4 - Global Startup: Quicken 2009 Zahlungserinnerung.lnk = C:\Programme\Lexware\Quicken\2009\billmind.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RF - Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - hxxp://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159452991625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159523676453
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - hxxp://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10499 bytes
__________________

Alt 02.08.2008, 00:02   #4
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



So, das Log ist an sich sauber.
Das solltest du aber fixen:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://sedoparking.com/domparking.php?id=827484&q=%s
Dazu auf "do a system scan only" klicken => Häkchen bei entspr. Eintrag setzen => auf "fix checked" klicken => Rechner neustarten
Zitat:
C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
Deine Java ist steinalt, du solltest unbedingt die neueste Javaversion von Sun installieren, davor aber die Alten über Systemsteuerung => Software deinstallieren.
Zitat:
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
Das gilt auch für den Adobe Reader, der neueste ist die Version 9.0.
Derartige veraltete Software sind Sicherheitslücken, dadurch kannst du dir Malware via Drive-by-Download einfangen.

Wenn du einen Router hast, benötigst du keine softwarebasierende Firewall, schon garnicht ZoneAlarm.
Ansonsten reicht die XP eigene Firewall vollkommen aus.

mfg

Edit:Folge mal der Anleitung für MalwareBytes, Link in meiner Signatur.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 02.08.2008, 00:20   #5
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Vielen Dank für die superschnelle Hilfe!

Ich werde die Empfehlungen auch sofort umsetzen.

Ich muss aber trotzdem nochmal nachfragen, weil ich mit der Thematik Malware nicht ganz so vertraut bin.

Kann ich also davon ausgehen, dass mein System sauber ist?

Und waren die beiden Funde dann falscher Alarm?

Und zuletzt: sollte ich die beiden Dateien (momentan in Quarantäne) sicherheitshalber löschen?

Sorry für die vielen Nachfragen!


Alt 02.08.2008, 00:25   #6
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Zitat:
Kann ich also davon ausgehen, dass mein System sauber ist?
Anhand des HijackThis Logfiles bist du clean, aber es gibt auch Malware der besonderen Art, die sich vor dem Programm verstecken.
Wenn Malwarebytes nichts findet, bist du zu 99% sauber, danach folgt noch ein Scan und wenn der wiederum nichts findet, bist du sauber.
Zitat:
Und waren die beiden Funde dann falscher Alarm?
Ist möglich.
Zitat:
Und zuletzt: sollte ich die beiden Dateien (momentan in Quarantäne) sicherheitshalber löschen?
Nein, bitte nicht. Sende Avira die zwei Dateien mit dem Betreff "Verdacht auf Fehlalarm" (Wichtig!) => Link

mfg
__________________
--> TR/Dloader.gcgk und exp/java.gimsh.a.19

Alt 02.08.2008, 00:37   #7
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Sorry, noch eine Nachfrage zum abschließenden Virenscan: reicht es, wenn ich mich ganz normal in Windows anmelde und dann mit Antivir scanne oder muss ich von einer Boot-CD aus starten (welche ich dann allerdings erst noch erstellen müsste)?

MfG

Alt 02.08.2008, 00:39   #8
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Zitat:
reicht es, wenn ich mich ganz normal in Windows anmelde und dann mit Antivir scanne oder muss ich von einer Boot-CD aus starten (welche ich dann allerdings erst noch erstellen müsste)?
Sorry, ich versteh gerade nicht, was du meinst.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 02.08.2008, 00:48   #9
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Mir wurde kürzlich gesagt ein sicherer Virenscan sei nur möglich, wenn man den Rechner von CD, beispielsweise mit Windows PE oder einer anderen Notfall-CD, bootet. Beim normalen Start von der Festplatte würden sich manche Schädlinge vor der Antivirensoftware verstecken.

Alt 02.08.2008, 00:53   #10
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Achso, du meinst wohl eher im abgesicherten Modus.
Verstecken tun sich "nur" Rootkits, dafür gibt es aber das:

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 02.08.2008, 01:01   #11
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Nochmal danke für Deine schnelle Hilfe!

Dann werde ich mich jetzt mal an die Umsetzung machen und kann dann endlich wieder ruhig schlafen!

mfg

Alt 02.08.2008, 01:03   #12
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Kein Problem,

Gute nacht,

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 04.08.2008, 22:10   #13
micha1976
 
TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Jetzt habe ich noch mal ein Problem.

Ich habe mit Malwarebytes Anti-Malware einen Scan durchgeführt. Während des Scans hat sich plötzlich mein Antivirenwächter wieder gemeldet:

c:\system volume information\_restore{xxx}\rp223\a0070049.exe ist das troj. Pferd TR/Dloader.gcgk.

Die vorherigen vollständigen Systemscans mit meinem Antivirenprogramm hatten diese Datei allerdings nicht gemeldet.

Ich habe die Datei daraufhin in Quarantäne verschoben.

Anti-Malware selbst hat keine Funde gemeldet.

Ich habe daraufhin im abgesicherten Modus noch einmal eine vollständigen Virenscan durchlaufen lassen, der ohne Fund blieb.

Seltsam war lediglich, dass sich mein Antivirus beim nächsten Neustart selbstständig gemacht hat und gleich mit 2 Instanzen begonnen hat einen vollständigen Systemscan zu machen.

Ist das jetzt nochmal falscher Alarm?

Alt 06.08.2008, 12:29   #14
Silent sharK
 

TR/Dloader.gcgk und exp/java.gimsh.a.19 - Standard

TR/Dloader.gcgk und exp/java.gimsh.a.19



Zitat:
Während des Scans hat sich plötzlich mein Antivirenwächter wieder gemeldet:
Das ist klar, den hättest du deaktivieren müssen.
Zitat:
c:\system volume information\_restore{xxx}\rp223\a0070049.exe ist das troj. Pferd TR/Dloader.gcgk.
Vermutlich Fehlalarm, du kannst die Datei aus der Quarantäne ja an Avira schicken: Klick

Die Rubrik "Verdächtige Datei" musst du auf "Verdacht auf Fehlalarm" ändern. Avira wird dich dann in wenigen Tagen/Stunden per Email benachrichtigen.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu TR/Dloader.gcgk und exp/java.gimsh.a.19
alarm, antivirus, avira, cache, datei, dateien, eingefangen, enthält, falsche, funde, gefangen, hallo zusammen, handel, hoffe, installierte, java, komplette, löschen, pferd, troja, trojanische, trojanische pferd, verdacht, version, weiterhelfen, zusammen



Ähnliche Themen: TR/Dloader.gcgk und exp/java.gimsh.a.19


  1. Drweb-cureit findet "dloader.trojan"
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (20)
  2. Nach Verschlüsselungstrojaner viele Virenfunde (JAVA/Jogek.CT; rus JAVA/Agent.MH; JAVA/Dldr.Pesur.BH; W32/Idele.2219; VBS/Fluenza.B; u.a...
    Log-Analyse und Auswertung - 28.01.2013 (1)
  3. JAVA/Dermit.EM, JAVA/Dldr.Lamar.FW, JAVA/Dldr.Themo.F.2, TR/Spy.ZBot.dynb und noch mehr
    Plagegeister aller Art und deren Bekämpfung - 30.11.2012 (22)
  4. Java-Virus JAVA/Dldr.Dermit.C, JAVA/Dldr.Kara.AB.1, JAVA/Dldr.Karame.AI
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (1)
  5. Internet langsam (Java-Virus JAVA/ClassLoader.AV und Java-Virus JAVA/Exdoer.O)
    Log-Analyse und Auswertung - 01.03.2012 (1)
  6. Wie bekomme ich einen W32/DLoader.HWPB weg?
    Plagegeister aller Art und deren Bekämpfung - 02.07.2008 (8)
  7. Trojaner: DLoader
    Log-Analyse und Auswertung - 25.06.2008 (4)
  8. EXP/Java.Gimsh.A.33
    Plagegeister aller Art und deren Bekämpfung - 24.01.2008 (2)
  9. EXP/Java.Gimsh.A.33
    Mülltonne - 23.01.2008 (0)
  10. Troj/Dloader-FC u.a.
    Log-Analyse und Auswertung - 01.12.2006 (3)
  11. Troj/Dloader-HK
    Plagegeister aller Art und deren Bekämpfung - 06.10.2006 (4)
  12. kostenloser Telefonischer Support W32/DLOADER.NNL
    Mülltonne - 10.02.2006 (2)
  13. Trojaner Meldung bei Norman W32/DLOADER.NNL
    Log-Analyse und Auswertung - 10.02.2006 (1)
  14. Troj/Dloader-MK trotz Kaspersky Echtzeitschutz
    Log-Analyse und Auswertung - 25.07.2005 (1)
  15. Trojaner Troj/Dloader-MK
    Plagegeister aller Art und deren Bekämpfung - 20.07.2005 (2)
  16. Logfile -Troj.Dloader.oh
    Log-Analyse und Auswertung - 04.06.2005 (5)
  17. Dloader und HideRun! BITTE HELFT!!!!
    Log-Analyse und Auswertung - 08.12.2004 (1)

Zum Thema TR/Dloader.gcgk und exp/java.gimsh.a.19 - Hallo zusammen, ich habe nach einem kompletten Systemscan mit Avira Antivirus 2 Funde gemeldet bekommen: download_getright_setup.exe ist das trojanische Pferd TR/Dloader.gcgk und ...\anwendungsdaten\sun\java\deployment\cache\javapi\v1.0\jar\... enthält Erkennungsmuster des Exploits exp/java.gimsh.a.19. Bei der - TR/Dloader.gcgk und exp/java.gimsh.a.19...
Archiv
Du betrachtest: TR/Dloader.gcgk und exp/java.gimsh.a.19 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.