Nabend, ich habe mir letztens einen Keygen für GTA 4 gesaugt weil ich testen wollte ob GTA4 überhaupt aneständig auf meinem Rechner läuft bevor ich es mir kaufe. Dummer weise war dieser keygen nunmal kein keygen sondern ein Trojaner . Dieser hat sich beim Start von windows immer mitgestartet bis ich ihn bei HijackThis gefixed habe. Nun wollte ich vorhin musik auf mein Handy (SD karte) per usb kabel übertragen und dieser drecks trojaner hat sich wieder geöffnet. Dachte eigentlcih antivir hätte ihn gelöscht denn auch dort habe ich gescanned und nachdem löschen nocheinmal wo nichtsmehr kam.

Hier mein log file, habe zwar selbst schonmal drüber geschaut aber vieleicht kommt ihr da mit weiter:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:30, on 19.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe
C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorEngine.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\driver\usb\usb_driver.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
G:\driver\usb\usb_driver.exe
C:\WINDOWS\winzip.exe
C:\WINDOWS\winzip.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programme\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [Winzip Program] winzip.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'Default user')
O4 - .DEFAULT Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'Default user')
O4 - .DEFAULT Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'Default user')
O4 - .DEFAULT Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htp://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe

--
End of file - 8591 bytes



O4 - HKLM\..\Run: [Winzip Program] winzip.exe

ist das drecksteil -.-

die datei versteckt sich unsichtbar in C:\windows sprich C:\windows\winzip.exe
ich kann eine verknüpfung zur datei erstellen, allerdings bringt normales löschen nichts und antivir erkennt wenn ich die datei oder den ordner scanne auch nichts.

Hoffe mir kann jemand helfen, weil die SuFu und google haben Null gebracht.

mfg, Flixl

EDIT: Das Ergebnis des Scanns von Virustotal: http://www.virustotal.com/de/analisi...70a6ba146fa687

Edit2: hab auf meinem Handy den trojaner auch gefunden oO. diesmal unter dem namen: usb_driver. dummerweise ist das schreibgeschützt und ich kann es nicht ändern

sry wegen doppelpost aber wegen der Übersichtlichkeit:

ich habe mir versteckte dateien, ordner etc anzeigen lassen, die datei "ent"schreibgeschützt und dann normal gelöscht. sie ist jetzt nichtmehr im C:\windows wies auschaut. allerdings immer noch auf meinem handy -.- ich werde noch weiter nach der datei suchen. weiteres werde ich morgen bekannt geben...

Hi Bifrost hab ich auch schon drauf gehabt....

ALSO ICH WÜRDE IHN NEU AUFSETZEN UND NICHT MEHR INS INET GEHEN!

BiFrost sendet immer schön ins INET.....!!!!!!

Warte aber bitte, was die Profis sagen und zwischendurch kannste hier ja mal die Suchfunktion benutzen um dich bischen zu informieren!

Gruss BIOTEC

Zitat:

Zitat von BIOTEC

Hi Bifrost hab ich auch schon drauf gehabt....

Ich kenne Bifrost auch.
mach es wie BIOTEC empfohlen hat: neuaufsetzen und alle Passwörter ändern, danach halte Dich von Warez fern.

Ich bin mir sicher, dass Bifrost auf einem Handy nicht lauffähig ist, denn Bifrost läuft nur auf einem Windows Betriebssystem. Ich denke mal, da "läuft" was anderes.

och nö, nich bifrost . was sendet der so alles nochmal? naja. werd ich mal mien system neu aufsetzen, wollt ich eh mal machen...

PS: was mienst du mit "da läuft was andres"?

aber wie kann ich die dateien von meiner mini SD karte löschen? nicht die karte ist schreibgeschützt sondern nur die daten, welche zum trojaner gehören (das häckchen bei schreibgeschützt is dirn und grau wodurch ich es nicht wegmachen kann)

achja. auf meiner SD karte is auhc ne autorun datei welche den trojaner immer startet wenn ich auf die karte zugreifen will. ebenfalls schreibgeschützt

Bifrost sendet von alleine gar nichts, nur Dein Remote-Admin kann mit Dir machen, was er will, also alles was Du kannst, dass könnte er auch.

Mit dieser Handysache kenne ich mich nicht aus, vielleicht kann Dir da ja ein anderer helfen.

hm ok. hab ich mir gedacht. (kenne Bifrost aus nem forum hab mich aber nie damit wirklich beschäftigt. naja. der heini hat nichts gemacht bei/mit mir bzw meinem PC.

Nachher werd ich dann mein System neu aufsetzen, allerdings hab ich ihmo noch das problem meiner daten"rettung". sollt ich meine ganzen daen (bilder, musik, video etc) aufgeben oder kann ich sie eventuell z.B. auf ner externen platte zwischenspeichern?

Du bist mindestesns genau so ein Heini, denn Du hast mit Cracks gespielt. Und was er gemacht hat, das weißt Du doch gar nicht.

Deine Bilder und so kannst auf ner externen Platte sichern.

Auch die *.exen eigentlich auch, denn "er" hat ja nichts gemacht. :aplaus:

joar... problem is, ich hab keine externe festplatte und lösch garde n haufen unnötiges zeug um weniger speicherplatz zu brauchen, könnte ich teorethisch auch per lan-kabel all meine daten auf nen andren PC schieben oder laufe ich da gefahr auch dort dann den trojaner mitzuschleppen?

eine Sicherung auf einen anderen PC geht sehr gut, sieh dir mal UltraVNC: Remote Support Software, Remote Support tool, Remote Desktop Control, Remote Access Software, PC Remote Control an.

sichere keine ausführbaren Dateien, dann klappt das schon.
Übrigens: es wäre easy, mit Bifrost in Deinen Files "aufzuräumen", denke zukünftig an Backups, denn auch ne Festplatte kann mal kaputt gehen.

danke schau ich mir mal an.

nich nur aufräumen könnt der. da n bissle was löschen, und da und da und windoof geht nemmer. da hilft dann auch nurnoch windoof reparieren oder neuaufsetzen

Hi,

nicht reparieren sondern richtig neuinstallieren. Reparatur mag manchmal helfen, da dabei die installierten Programme installiert bleiben und nicht neu installiert werden müssen (hab aber auch schon Fälle gehabt, da war danach alles kaputt). Bloß unterscheidet die Reparatur bei "installierten Programmen" nicht zwischen Gut und Böse, deshalb ist sie kein Mittel, Malware loszuwerden. Mehr was für zerschossene Registrydateien usw., wobei es auch für diese Fälle wesentlich tauglichere Mittel gibt.

Gruß, Karl

danke für all die antworten aber hat sich nu erledigt.
hab vorn paar tagen mein system neu aufgesetzt (vorher festplatte mit "Boot and Nuke" komplett platt gemacht ^^