Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: winzip.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.01.2009, 23:41   #1
Flixl
 
winzip.exe - Standard

winzip.exe



Nabend, ich habe mir letztens einen Keygen für GTA 4 gesaugt weil ich testen wollte ob GTA4 überhaupt aneständig auf meinem Rechner läuft bevor ich es mir kaufe. Dummer weise war dieser keygen nunmal kein keygen sondern ein Trojaner . Dieser hat sich beim Start von windows immer mitgestartet bis ich ihn bei HijackThis gefixed habe. Nun wollte ich vorhin musik auf mein Handy (SD karte) per usb kabel übertragen und dieser drecks trojaner hat sich wieder geöffnet. Dachte eigentlcih antivir hätte ihn gelöscht denn auch dort habe ich gescanned und nachdem löschen nocheinmal wo nichtsmehr kam.

Hier mein log file, habe zwar selbst schonmal drüber geschaut aber vieleicht kommt ihr da mit weiter:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:30, on 19.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe
C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorEngine.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\driver\usb\usb_driver.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
G:\driver\usb\usb_driver.exe
C:\WINDOWS\winzip.exe
C:\WINDOWS\winzip.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ttp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programme\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [Winzip Program] winzip.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RGSC] C:\Programme\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'Default user')
O4 - .DEFAULT Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'Default user')
O4 - .DEFAULT Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'Default user')
O4 - .DEFAULT Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htp://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe

--
End of file - 8591 bytes



O4 - HKLM\..\Run: [Winzip Program] winzip.exe

ist das drecksteil -.-

die datei versteckt sich unsichtbar in C:\windows sprich C:\windows\winzip.exe
ich kann eine verknüpfung zur datei erstellen, allerdings bringt normales löschen nichts und antivir erkennt wenn ich die datei oder den ordner scanne auch nichts.

Hoffe mir kann jemand helfen, weil die SuFu und google haben Null gebracht.

mfg, Flixl

EDIT: Das Ergebnis des Scanns von Virustotal: http://www.virustotal.com/de/analisi...70a6ba146fa687

Edit2: hab auf meinem Handy den trojaner auch gefunden oO. diesmal unter dem namen: usb_driver. dummerweise ist das schreibgeschützt und ich kann es nicht ändern

Geändert von Flixl (20.01.2009 um 23:55 Uhr)

Alt 21.01.2009, 00:04   #2
Flixl
 
winzip.exe - Standard

winzip.exe



sry wegen doppelpost aber wegen der Übersichtlichkeit:

ich habe mir versteckte dateien, ordner etc anzeigen lassen, die datei "ent"schreibgeschützt und dann normal gelöscht. sie ist jetzt nichtmehr im C:\windows wies auschaut. allerdings immer noch auf meinem handy -.- ich werde noch weiter nach der datei suchen. weiteres werde ich morgen bekannt geben...
__________________


Alt 21.01.2009, 06:32   #3
BIOTEC
 
winzip.exe - Standard

winzip.exe



Hi Bifrost hab ich auch schon drauf gehabt....

ALSO ICH WÜRDE IHN NEU AUFSETZEN UND NICHT MEHR INS INET GEHEN!

BiFrost sendet immer schön ins INET.....!!!!!!

Warte aber bitte, was die Profis sagen und zwischendurch kannste hier ja mal die Suchfunktion benutzen um dich bischen zu informieren!

Gruss BIOTEC
__________________

Alt 21.01.2009, 08:16   #4
Heike
 
winzip.exe - Standard

winzip.exe



Zitat:
Zitat von BIOTEC Beitrag anzeigen
Hi Bifrost hab ich auch schon drauf gehabt....
Ich kenne Bifrost auch.
mach es wie BIOTEC empfohlen hat: neuaufsetzen und alle Passwörter ändern, danach halte Dich von Warez fern.

Ich bin mir sicher, dass Bifrost auf einem Handy nicht lauffähig ist, denn Bifrost läuft nur auf einem Windows Betriebssystem. Ich denke mal, da "läuft" was anderes.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 21.01.2009, 10:04   #5
Flixl
 
winzip.exe - Standard

winzip.exe



och nö, nich bifrost . was sendet der so alles nochmal? naja. werd ich mal mien system neu aufsetzen, wollt ich eh mal machen...

PS: was mienst du mit "da läuft was andres"?

aber wie kann ich die dateien von meiner mini SD karte löschen? nicht die karte ist schreibgeschützt sondern nur die daten, welche zum trojaner gehören (das häckchen bei schreibgeschützt is dirn und grau wodurch ich es nicht wegmachen kann)

achja. auf meiner SD karte is auhc ne autorun datei welche den trojaner immer startet wenn ich auf die karte zugreifen will. ebenfalls schreibgeschützt


Geändert von Flixl (21.01.2009 um 10:18 Uhr)

Alt 21.01.2009, 10:49   #6
Heike
 
winzip.exe - Standard

winzip.exe



Bifrost sendet von alleine gar nichts, nur Dein Remote-Admin kann mit Dir machen, was er will, also alles was Du kannst, dass könnte er auch.

Mit dieser Handysache kenne ich mich nicht aus, vielleicht kann Dir da ja ein anderer helfen.
__________________
--> winzip.exe

Alt 21.01.2009, 13:53   #7
Flixl
 
winzip.exe - Standard

winzip.exe



hm ok. hab ich mir gedacht. (kenne Bifrost aus nem forum hab mich aber nie damit wirklich beschäftigt. naja. der heini hat nichts gemacht bei/mit mir bzw meinem PC.

Nachher werd ich dann mein System neu aufsetzen, allerdings hab ich ihmo noch das problem meiner daten"rettung". sollt ich meine ganzen daen (bilder, musik, video etc) aufgeben oder kann ich sie eventuell z.B. auf ner externen platte zwischenspeichern?

Alt 21.01.2009, 14:04   #8
Heike
 
winzip.exe - Standard

winzip.exe



Du bist mindestesns genau so ein Heini, denn Du hast mit Cracks gespielt. Und was er gemacht hat, das weißt Du doch gar nicht.

Deine Bilder und so kannst auf ner externen Platte sichern.

Auch die *.exen eigentlich auch, denn "er" hat ja nichts gemacht. :aplaus:
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 21.01.2009, 14:19   #9
Flixl
 
winzip.exe - Standard

winzip.exe



joar... problem is, ich hab keine externe festplatte und lösch garde n haufen unnötiges zeug um weniger speicherplatz zu brauchen, könnte ich teorethisch auch per lan-kabel all meine daten auf nen andren PC schieben oder laufe ich da gefahr auch dort dann den trojaner mitzuschleppen?

Alt 21.01.2009, 15:54   #10
Heike
 
winzip.exe - Standard

winzip.exe



eine Sicherung auf einen anderen PC geht sehr gut, sieh dir mal UltraVNC: Remote Support Software, Remote Support tool, Remote Desktop Control, Remote Access Software, PC Remote Control an.

sichere keine ausführbaren Dateien, dann klappt das schon.
Übrigens: es wäre easy, mit Bifrost in Deinen Files "aufzuräumen", denke zukünftig an Backups, denn auch ne Festplatte kann mal kaputt gehen.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 21.01.2009, 16:03   #11
Flixl
 
winzip.exe - Standard

winzip.exe



danke schau ich mir mal an.

nich nur aufräumen könnt der. da n bissle was löschen, und da und da und windoof geht nemmer. da hilft dann auch nurnoch windoof reparieren oder neuaufsetzen

Alt 22.01.2009, 00:11   #12
KarlKarl
/// Helfer-Team
 
winzip.exe - Standard

winzip.exe



Hi,

nicht reparieren sondern richtig neuinstallieren. Reparatur mag manchmal helfen, da dabei die installierten Programme installiert bleiben und nicht neu installiert werden müssen (hab aber auch schon Fälle gehabt, da war danach alles kaputt). Bloß unterscheidet die Reparatur bei "installierten Programmen" nicht zwischen Gut und Böse, deshalb ist sie kein Mittel, Malware loszuwerden. Mehr was für zerschossene Registrydateien usw., wobei es auch für diese Fälle wesentlich tauglichere Mittel gibt.

Gruß, Karl

Alt 26.01.2009, 12:16   #13
Flixl
 
winzip.exe - Standard

winzip.exe



danke für all die antworten aber hat sich nu erledigt.
hab vorn paar tagen mein system neu aufgesetzt (vorher festplatte mit "Boot and Nuke" komplett platt gemacht ^^

Antwort

Themen zu winzip.exe
antivir, antivirus, avgnt, avgnt.exe, avira, bho, bonjour, cdburnerxp, computer, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, karte, keygen, log file, mein log, mozilla, rundll, sd karte, software, start von windows, stick, system, trojaner, usb, versteckt sich, vista, windows, windows xp, ändern



Ähnliche Themen: winzip.exe


  1. was haltet ihr vom WinZip Malware Protector?
    Antiviren-, Firewall- und andere Schutzprogramme - 16.10.2016 (7)
  2. WinZip Malware Protector nicht zu löschen!
    Plagegeister aller Art und deren Bekämpfung - 01.02.2015 (1)
  3. Registry Einträge lassen sich nicht durch WinZip nicht löschen
    Log-Analyse und Auswertung - 24.06.2014 (9)
  4. Popups und Werbung im Browser Win 7 64 Bit nach Winzip Installation
    Plagegeister aller Art und deren Bekämpfung - 13.06.2014 (19)
  5. Problem mit Google-Anzeigen; Winzip Malware Protector Installation
    Log-Analyse und Auswertung - 29.05.2014 (11)
  6. Snap Do, Winzip Registry Optimizer und so Zeug eingefangen, deinstalliert, doch PC weiterhin langsam
    Plagegeister aller Art und deren Bekämpfung - 23.05.2014 (27)
  7. Registry Einträge lassen sich nicht durch Winzip in Quarantäne verschieben
    Log-Analyse und Auswertung - 22.05.2014 (3)
  8. Trojaner durch Öffnen von Spam-Email/WinZip Malware Protector
    Plagegeister aller Art und deren Bekämpfung - 12.05.2014 (1)
  9. Winzip Datei geöffnet, Trojaner schläft weiter?
    Plagegeister aller Art und deren Bekämpfung - 10.12.2013 (1)
  10. Winpatrol : Scotty meldet: WinZip exe
    Plagegeister aller Art und deren Bekämpfung - 20.09.2013 (5)
  11. Unerklärliche Phänomene - WinZip Registry Optimizer
    Plagegeister aller Art und deren Bekämpfung - 22.05.2013 (3)
  12. Sicherheitsproblem in WinZip
    Alles rund um Windows - 09.03.2004 (1)
  13. Wie Dateien mit Winzip komprimieren?
    Alles rund um Windows - 04.05.2003 (9)

Zum Thema winzip.exe - Nabend, ich habe mir letztens einen Keygen für GTA 4 gesaugt weil ich testen wollte ob GTA4 überhaupt aneständig auf meinem Rechner läuft bevor ich es mir kaufe. Dummer weise - winzip.exe...
Archiv
Du betrachtest: winzip.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.