Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.12.2008, 17:30   #1
trojaner-feind-de
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Icon27

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



Hallo,

ich habe mir scheinbar den Tojaner Backdoor.Generic8.GLW eingefangen.

Ich habe bisher mich nur auf das Programm Ewido ( AVG ) Antispyware verlassen. Nachdem dieses nun vom Hersteller eingestellt wurde habe ich zu AVG Internet Security 8.0 gewechselt.

Ein erster Komplettscan meines Rechners ergab das die Datei

C:\Windows\vchost.exe

mit dem Trojaner Backdoor.Generic8.GLW infiziert war.

Diese wurde von AVG Scanner automatisch in die Quarantäne verschoben.

Allerdings findet auch auch bei jedem Scan unter der Rubrik Rootkit ein versteckter Treiber.

Dieser liegt in

C:\Windows\System32\Drivers\a*.SYS

nach jedem Löschvorgang seitens AVG ( und dem damit verbundenen Neustart ) findet sich ein derselbe versteckte Treiber mit anderem Namen wieder.

Die letzten bekannten Namen waren

a9un662f.SYS
ara35lo2.SYS
a6tsuj6m.SYS


Ist dies evtl auf den Tojaner zurückzuführen oder kann dies ( wie ich so verstanden habe ) auf bestimmte Kopierschütze zurückzuführen sein ( Securom o.ä) ?

Ich habe bei mir

Windows Vista Ultimate SP1 ( alle Updates bis 15.12.2008 12:00 Uhr )
AVG Internet Security 8.0 ( 15.12.2008 15.44 Uhr )

Einen HijackThis Log habe ich erstellt.

___________________________________
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:54, on 15.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\BOINC\boinctray.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Nexus Radio\Nexus Radio.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\FRITZ!DSL\FwebProt.exe
C:\Program Files\U-ABIT\uGuru\uGuru.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\FRITZ!DSL\StCenter.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\FTPRush\ftprush.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [boinctray] "C:\Program Files\BOINC\boinctray.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Nexus Radio] C:\Program Files\Nexus Radio\Nexus Radio.exe -0
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ABIT uGuruIII] C:\Program Files\U-ABIT\uGuru\LaunchuGuru.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Program Files\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B68BAEC-C9EA-447A-BD94-DB367A6108E3}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2DA4CFE-A368-4F3E-9345-1C003541C803}: NameServer = 192.168.178.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe
O23 - Service: BOINC - Space Sciences Laboratory - C:\Program Files\BOINC\boinc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 5355 bytes
         
____________________________________________

Einen Anti-Maleware Log gibt es ebenfalls

____________________________________________
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 6.0.6001 Service Pack 1

15.12.2008 17:24:41
mbam-log-2008-12-15 (17-24-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 235173
Laufzeit: 1 hour(s), 19 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
____________________________________________

Kann mir jemand mehr dazu sagen ?

Oder empfiehlt sich generell eine Neuinstallation des Systems ( unbeliebt ) ?

MfG

Alt 16.12.2008, 21:55   #2
trojaner-feind-de
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Standard

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



*push to the top*
__________________


Alt 16.12.2008, 22:19   #3
TR-Vundo
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Standard

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



Also ich sage ja immer, wenn Malwarebytes nichts findet dann kann man
schohn mahl aufathmen!

Es kann sich auch um einen Fehlalarm handeln.
Lade die Datei, die sich immer wider neu erstellt bei Virustotal hoch.
Den Log dan hir posten. VirusTotal - Free Online Virus and Malware Scan
__________________
__________________

Alt 16.12.2008, 22:25   #4
trojaner-feind-de
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Standard

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



Hallo Tundo,

danke für die Antowrt.
Leider kann ich die Datei ausser mit dem AVG Virenscanner leider nicht im Explorer finden.

Ich habe jedoch schon alle versteckten Dateien anzeigen lassen, die Systemdateien werden NICHT ausgeblendet...

Hat jemand eine Idee wie ich den Treiber greifen kann zum auswerten lassen ?

MfG

Alt 17.12.2008, 00:42   #5
KarlKarl
/// Helfer-Team
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Standard

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



Hi,

diese Einstellungen für versteckte Dateien, Systemdateien, usw. greifen eben nicht für Rootkits. Demon Tools, Alcohol 120 oder ähnliche Software auf dem Rechner? Dann runter damit und dann nachschauen, ob das Rootkit noch immer gefunden wird.

Gruß, Karl


Alt 18.12.2008, 11:40   #6
trojaner-feind-de
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Daumen hoch

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



Hallo,

erstmal vielen Dank an alle die mir geholfen haben !

Nach der Deinstallation von Daemon Tools ist der versteckte Treiber weg.
Habe seitdem 3 Neustarts gemacht, jedes mal gescannt -> nix mehr da =)

Also gehe ich davon aus, dass dieser Treiber harmlos war, also kein Grund zur Panik.

Ich werde nachher Daemon Tools wieder installieren, da ich es andauernd benutze / brauche, mal sehen ob der Treiber wieder kommt.

MfG

Alt 18.12.2008, 18:36   #7
KarlKarl
/// Helfer-Team
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Standard

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



Wird er

Alt 19.12.2008, 17:24   #8
trojaner-feind-de
 
Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Standard

Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW



ist er

Antwort

Themen zu Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW
add-on, avg, backdoor.generic, bho, defender, dsl, firefox, hijack, hijackthis, hijackthis log, internet, internet explorer, internet security, malwarebytes' anti-malware, monitor, mozilla, nexus, programm, registrierungsschlüssel, rootkit, rundll, scan, security, software, stick, system, tojaner, toolbars, trojaner, updates, versteckte treiber, versteckter treiber, vista, windows, windows defender, wlan



Ähnliche Themen: Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW


  1. Versteckter Ordner (Virus) im Windows 7 System? Adware Cookie.2o7 nach Formatierung
    Plagegeister aller Art und deren Bekämpfung - 03.11.2015 (1)
  2. Avira - versteckter Treiber gefunden - Windows7
    Plagegeister aller Art und deren Bekämpfung - 13.05.2015 (17)
  3. Systemsuchlauf Antivir - versteckter Treiber - gefährlich? - mit Vorgeschichte
    Plagegeister aller Art und deren Bekämpfung - 20.04.2015 (29)
  4. Nach Tipps wegen Trojaner kein Sound mehr...sind Treiber gelöscht?
    Netzwerk und Hardware - 11.11.2014 (6)
  5. Trojaner: Dropper.Generic8.CCQM
    Plagegeister aller Art und deren Bekämpfung - 08.04.2014 (13)
  6. Avira Scan, versteckter Treiber gefunden, infiziertes Objekt, Fehlermeldungen - bin ziemlich überfordert
    Log-Analyse und Auswertung - 05.03.2014 (24)
  7. versteckter Trojaner trotz Kaspersky?
    Plagegeister aller Art und deren Bekämpfung - 08.02.2014 (10)
  8. AVG meldet Trojaner:Dropper.Generic8.CKIW im Windows 7
    Log-Analyse und Auswertung - 12.12.2013 (12)
  9. Versteckter Treiber gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.11.2013 (13)
  10. Trojaner: Dropper.Generic8.AVYY
    Plagegeister aller Art und deren Bekämpfung - 10.06.2013 (3)
  11. Trojaner: Dropper.Generic8.avyy in C:\SWSetup\ESUW7\EXE_ESU.exe
    Plagegeister aller Art und deren Bekämpfung - 08.06.2013 (5)
  12. Reicht AVG AntiVirus free zum entfernen der Trojaner Agent7.bc und Dropper.Generic8.AGYJ aus?
    Log-Analyse und Auswertung - 24.05.2013 (18)
  13. System bereinigen nach Backdoor.graybird / backdoor.rustock etc.
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (5)
  14. Versteckter Trojaner in Windows Symstem
    Log-Analyse und Auswertung - 16.12.2012 (5)
  15. Versteckter Trojaner (TR/Black.Gen2) in .dll Datei?
    Plagegeister aller Art und deren Bekämpfung - 23.01.2011 (2)
  16. versteckter treiber "C:\WINXP\System32\Drrivers\alw3b91j.sys"
    Log-Analyse und Auswertung - 30.04.2009 (1)
  17. Trojaner Generic8 Hilfe
    Mülltonne - 28.05.2008 (0)

Zum Thema Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW - Hallo, ich habe mir scheinbar den Tojaner Backdoor.Generic8.GLW eingefangen. Ich habe bisher mich nur auf das Programm Ewido ( AVG ) Antispyware verlassen. Nachdem dieses nun vom Hersteller eingestellt wurde - Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW...
Archiv
Du betrachtest: Versteckter Treiber nach Trojaner Backdoor.Generic8.GLW auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.