Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   C:\Programme\gtermddo.exe (https://www.trojaner-board.de/22622-c-programme-gtermddo-exe.html)

mafi123 10.10.2005 15:54
C:\Programme\gtermddo.exe
 
hi

ich war grad am Stöbern und bin in msconfig-autostart auf dieses programm gestoßen, hijackthis meldet es in dieser Weise, die Page hijackthis.de hat aber keinerlei Informationen.

Code:
O4 - HKLM\..\Run: [gtermddo] C:\Programme\gtermddo.exe
kennt einer das Programm oder kann mir helfen, herrauszufinden, was es eigentlich macht???

Danke, Mafi123

chaosman 10.10.2005 20:37
@mafi123
da google dies programm wohl auchnicht kennt, lasse diese datei
C:\Programme\gtermddo.exe
hier überprüfen
http://virusscan.jotti.org/de/
und poste das ergebnis

chaosman

mafi123 11.10.2005 13:51
Hab ich gemacht, Virus ist es keiner.
Gibt es dennoch eine Möglichkeit herrauszufinden, was es denn ist?

stupormundi 11.10.2005 14:03
servus, mafi123!
Poste uns doch mal das ganze HJT-Logfile. Der Eintrag ist ja wirklich interessant!
stupormundi

mafi123 11.10.2005 15:11
Code:
Logfile of HijackThis v1.99.1
Scan saved at 16:07:07, on 11.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\AVPersonal\AVSched32.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Logitech-Treiber\MouseWare\system\em_exec.exe
E:\powertoys\taskswitch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\AVPersonal\AVGNT.EXE
E:\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
E:\ICQLite\ICQLite.exe
E:\AVPERSONAL\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
E:\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\svchost.exe
E:\United Devices\UD.EXE
E:\United Devices\ud_7657531.exe
E:\United Devices\ud_7657531_0.dir\WCGrid_Rosetta.exe
E:\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\me\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVSCHED32] E:\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] E:\powertoys\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] E:\powertoys\taskswitch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CloneCDTray] "e:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [gtermddo] C:\Programme\gtermddo.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\T-DSLS~1\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ICQ 5.lnk = E:\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125827725593
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: InteractiveLogon - Unknown owner - E:\powertoys\Fast.exe (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\T-DSL SpeedManager\tsmsvc.exe
mit der markierten Zeile kann ich auch nichts anfangen...
bis auf die microsoft/windows-sachen, ist mir bewusst, wozu ich sie installiert habe. Vermutlich sind auch die Windowsdateien zu irgentetwas gut ;)

mafi123 11.10.2005 16:49
Sorry, ich hab nicht geschafft, den alten Beitrag zu editieren (geht das überhaupt? :confused: )

wie auch immer...
ich hab mal ne Windows-Suche laufen lassen, die Datei wurde nämlich am 25.01.2004 erstellt. Da gabs meinen Pc noch garnicht...
Außerdem wurden an diesem Tag ein paar Dateien von MikTex und von WinHTTrackIEBar erstellt - zuvor ist mir diese Datei an diesem Denkbar sonderbaren Ort aber nicht aufgefallen. Ich schaue regelmäßig die Autostart-Aufstellung in MSCONFIG an.

vielleicht helfen diese Hinweise
PS: wenn man Doppelklickt passiert nichts, das Programm startet sich ohnehin bei jedem Start ("Gefahr" also ausgeschlossen, bzw mittlerweile egal ;) ) im Taskmanager ist es nicht drin, so wie ich das beurteilen kann.


EDIT: (seltsam jetzt gehts...)

in der Registry taucht es hier auf:
Code:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-1708537768-1644491937-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
HKEY_USERS\S-1-5-21-1708537768-1644491937-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache

cacatoa 11.10.2005 17:16
Hi, einmisch:
Da wird uns wieder mal gezeigt, wie unvorstellbar weit die Welt unserer Computer ist. Deine Datei "gtermddo" taucht sogar in Windows-Fehlermeldungen auf. Allerdings kennt man sie bei Microsoft nicht...
Geh aber mal davon aus, daß es nix schlimmes ist... http://www.cosgan.de/images/smilie/teufel/g015.gif
cacatoa

mafi123 12.10.2005 12:56
hi nochmal

gibt es denn außer Löschen und Abwarten, ob sich was ändert eine anderen Möglichkeit, auf die Funtktion des Programms zu schließen?

cacatoa 12.10.2005 17:55
Also, meiner Ansicht nach nicht.
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19