Trojaner-Board - Laptop mit massiven Programmabstürzen. Bitte um HILFE!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Laptop mit massiven Programmabstürzen. Bitte um HILFE! (https://www.trojaner-board.de/36038-laptop-massiven-programmabstuerzen-bitte-um-hilfe.html)

Laptop mit massiven Programmabstürzen. Bitte um HILFE!

Auch wenn mir bei meinem letzten Problem winfixer2005scannerinstallde-im-autostart noch nicht fertig geholfen wurde, kommt jetzt hier ein neues Laptop-Problem.
Hab den HijackThis drüberlaufen lassen und gleich noch den eScan incl. Find.bat und poste die Ergebnisse hier in der Hoffnung, dass mir doch jemand helfen kann...

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 08:46:00, on 05.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www . aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [GazelDisplay] "\gsyno.exe" -h
O4 - HKLM\..\Run: [KEYPAD] StdKeyPad.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title="CorelDRAW Graphics Suite 11" /date=021607 serial=DR11WBL-2155594-HXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www . medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www . aldi.com/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

eScan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Feb 05 09:06:47 2007 => Version 9.1.1
Mon Feb 05 09:07:00 2007 => Virus Database Date: 2/3/2007
Mon Feb 05 10:54:01 2007 => Virus Database Date: 2/3/2007
Mon Feb 05 11:02:32 2007 => Virus Database Date: 2/3/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Feb 05 09:08:47 2007 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Mon Feb 05 09:08:54 2007 => System found infected with spylax Trojan (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Feb 05 09:08:47 2007 => Offending file found: C:\WINDOWS\gpinstall.exe
Mon Feb 05 09:08:54 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Feb 05 09:08:48 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Vielen Dank schonmal im Voraus für die Hilfe!
Gruß Elbspatz

Nochmal zur Klarstellung, es handelt sich um einen anderen Laptop, falls das hier nicht so rübergekommen sein sollte... :o

Soll ich das System neu aufsetzen? Oder kann ich die Eindringlinge irgendwie killen?

Gruß Elbspatz

Hallo.
Dass der eine oder andere Thread hier mal durchs Raster fällt, versteh ich ja, dass aber gleich meine beiden Hilfegesuche ungehört verhallen, finde ich schade.
Ich weiß, dass hier Experten am Werk sind, die diese Hilfeleistungen in ihrer Freizeit machen und das rechne ich ihnen auch hoch an. Leider komme ich mir hier trotzdem etwas alleingelassen vor.
Ich werde mich wohl anderweitig kümmern müssen, um die beiden Computerprobleme lösen zu können.

Danke schön. :dummguck:

Gruß Elbspatz

Zitat:

O4 - HKLM\..\Run: [GazelDisplay] "\gsyno.exe" -h
O4 - HKLM\..\Run: [KEYPAD] StdKeyPad.exe

Suche die beiden Dateien mal bitte und überprüfe sie
bei Virustotal (siehe sig).

Zitat:

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\unvise32.exe

Da du bei escan die 2 gefunden hast,
gehe in der Anleitung weiter vor,
falls noch nicht getan.

mfg Cleriker

Herzlichen Dank, Cleriker! :bussi:
Ich werde das überprüfen, sobald ich den Laptop wieder in der Hand habe, die Besitzerin brauchte den Rechenknecht mittlerweile wieder. Ich hatte gehofft, das Problem schneller erledigen zu können. :o
Ich melde mich wieder, sobald ich die Ergebnisse habe.

Viele Grüße
Elbspatz

Hallo Cleriker,
die Dateien
C:\WINDOWS\gpinstall.exe und
C:\WINDOWS\unvise32.exe
sind bei Virustotal als virenfrei angezeigt worden (hab versehentlich von meiner Bekannten diese beiden Dateien scannen lassen und nicht
O4 - HKLM\..\Run: [GazelDisplay] "\gsyno.exe" -h und
O4 - HKLM\..\Run: [KEYPAD] StdKeyPad.exe )
Soll ich die wirklich entfernen lassen? Die "unvise32.exe" z.B. hab ich auf meinem eigenen PC auch drauf... Nicht dass dann was nicht mehr funktioniert... :confused:

Die beiden letztgenannten Dateien sind aber normale Dateien für den Laptop.
"gsyno.exe" gehört zu einem ISDN-Modem "Typhoon" und StdKeyPad.exe zu einem USB-Nummernblock, der Zahleneingaben für Vielrechner erleichtern soll.
Kann die nur jetzt leider nicht scannen, da ich den Laptop momentan ums Verrecken nicht in Netz bekomme :headbang: (Büro-ISDN-Anschluss spinnt)
Aber vielleicht hat sich das mit der Erklärung schon erledigt?

Viele Grüße
Elbspatz

Hi,

hört sich für mich als Nichtsogerner Frühaufsteher
verwirrend an.

Zitat:

hab versehentlich von meiner Bekannten diese beiden Dateien scannen lassen und nicht

Verstehe ich nicht ... kannst du nochmal erklären, wie du das meinst?

Zitat:

Soll ich die wirklich entfernen lassen?...
Nicht dass dann was nicht mehr funktioniert

Nach Googlen bin ich auch auf die selben Aussagen gekommen,
wie du. Aber escan sagt was anderes

Zitat:

Mon Feb 05 09:08:47 2007 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Mon Feb 05 09:08:54 2007 => System found infected with spylax Trojan (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.

Na dann müssen wir uns Sicherheit verschaffen. Suche die
Dateien auf und lade sie ebenfalls bei Virustotal hoch. Poste
bitte danach das Ergebnis mit Dateigröße. Von Aussagen wie

Zitat:

sind bei Virustotal als virenfrei angezeigt worden

würde ich mich gerne selber überzeugen.
Zusätzlich lade dir den SpywareDoctor runter und scanne das System.
Der behauptet beim Googlen nämlich was anderes.

mfg Cleriker

Oh je, hab mich wohl doch etwas unklar ausgedrückt (bin heute etwas übernächtigt).
Du sagtest mir, ich soll die "gsyno.exe" und die "StdKeyPad.exe" bei Virustotal scannen lassen. Da der Laptop nicht mir gehört, sondern einer Freundin (die sich überhaupt nicht mit sowas auskennt - noch weniger als ich *gg*), hab ich ihr gesagt, was sie tun soll, nur eben falsch. Ich hab sie die "C:\WINDOWS\gpinstall.exe" und
"C:\WINDOWS\unvise32.exe" scannen lassen. (leider konnte sie die Scanergebnisse nicht retten, da das Dokument, in das sie den Screenshot einfügen wollte, gecrasht ist und sich nicht wiederherstellen lässt.
Jetzt kann ich leider ihren Laptop nicht ans Internet anschließen, um den Scan durchzuführen. Ich trau mich nicht, diese zu scannenden Dateien auf meinen USB-Stick zu holen und über den Firmen-PC ins Internet zu Virustotal zu schicken, nicht dass sich der auch noch was "einfängt"...

Wohler wäre mir, wenn ich den Rechner mal für ein paar Tage in die Hände bekäme, aber sie brauch ihn dauernd :dummguck: ...

Spyware-Doctor werd ich drüberjagen und dann melde ich mich wieder...

Herzlichen Dank für Deine Unterstützung
Gruß Elbspatz

Ok, der Spyware-Doc ist fertig und das ist das Ergebnis:

Code:


 

Worm.Viking (W32.Looked.P [Symantec]

PE_LEGMIR.D-O [Trend Micro]

Worm.Win32.Viking.n [Kaspersky]

W32/Looked-B [Sophos]

W32/HLLP.Philis.w [McAfee]

W32/Viking.I.worm [Panda])
 

Gefahrenstufe: Hoch
 

Beschreibung: Worm.Viking prepends its malware code to any executable files on the infected system and downloads Trojan.PWSteal.Lineage from www.wowchian.com. It also attempts to replicate through the network by copying itself to the shared folders on the infected system.
 
 
 
 

BlackWorm (Kama Sutra

Worm.VB.I)
 

Typ: Wurm
 

Gefahrenstufe: Hoch
 

Beschreibung: BlackWorm is an internet worm that deletes all major anti-virus programs from the users computer. It propogates across the local network exploiting weak shares. This worm is programmed to delete important files and documents from the infected machine on the 3rd of every month. The first deletion is set to be on the 3rd of February, 2006.
 

Hinweis: Toss
 
 
 

Caishow (Adware.Dm [Ewido]

Adware.Dm.F [BitDefender])
 

Typ: Browser Helper Object
 

Gefahrenstufe: Erhöht
 

Beschreibung: Caishow is a potentially unwanted application (PUA) from a chinese website http://www.caishow.com. 

It adds a Browser Helper Object onto Internet Explorer. It is known to produce pop-up advertisements.

:eek: :eek: :eek:

Deprimierte Grüße
Elbspatz

Naja...

du hast eine (schöne) Sammlung aus Würmern
mit Adware-effekt auf dem jeweiligen System.
Folgendes passiert oder ist schon passiert:
- Dateien werden infiziert
- Netzwerkfreigaben werden realisiert
- Ausbreitung über das Netzwerk
- Herunterladen von Trojanern

Ich weiß nicht, was davon schon passiert ist
und kann auch bei Beseitigung nicht auf
ein sicheres System schwören.

Empfehlung:
1. Sichere die wichtigsten Daten
(keine exe,dll,...)
auf einem Speicherstick
2. Setze das System nach der verlinkten
Anleitung neu auf!
3. Bei Backup der gesicherten Daten setze
eine Firewall und ein geupdatetes
Antivirprogramm davor

mfg Cleriker

Danke für die Antwort, auch wenn sie mir nicht gefällt. :heulen:
Ich hab es schon geahnt, dass ich mich im Format C: üben darf. Naja, einmal ist immer das erste Mal. Mit der schönen Anleitung von Euch wird das scho werden.
Kann ich von den Daten auch Office-Dateien retten oder sind die evtl. infiziert?

Ich verstehe nur nicht, weshalb Antivir die Viecher nicht gefunden hat, sind die so gut versteckt, oder taugt Antivir nichts? (hab es auf meinem eigene PC auch und bin nun besorgt, dass ich dort auch unbemerkt "Gäste" habe)

Gruß Elbspatz

Zitat:

Worm.Viking (W32.Looked.P [Symantec]
PE_LEGMIR.D-O [Trend Micro]
Worm.Win32.Viking.n [Kaspersky]
W32/Looked-B [Sophos]
W32/HLLP.Philis.w [McAfee]
W32/Viking.I.worm [Panda]

Dahinter steht jeweils das Antivirprogramm,
welches den Schädling entlarvt hat.

Naja...so schlecht ist Antivir nicht,
wenn alle Updates vorhanden sind.
Die Schädlinge sind nämlich erst zwischen
4-6 Monate alt.
Außerdem weiß ich nicht genau, ob du die
Wirte oder nur Ablagen in Dateien hast.
Antivir achtet (glaube ich) nur auf (edith: aktive) Signaturen.

Office-Dateien kannst du kopieren. Bei den
Schädlingen habe nichts davon gelesen, dass
Makroviren ins Spiel gebracht werden.
Achte aber bitte trotzdem beim Rückkopieren
auf genügend Sicherheit.

mfg Cleriker

ps: Kannst ja deinen eigenen PC auch scannen
und ein LogFile erstellen. Aber bleibe dann bitte
in dem Thread, damit das Forum nicht unnötig
vollgestopft wird. :)

Danke schön, ich werde Deinen Rat beherzigen!

OK, hier ist das Ergebnis von meinem eigenen PC. :eek:

Code:

Worm.Viking (W32.Looked.P [Symantec]

PE_LEGMIR.D-O [Trend Micro]

Worm.Win32.Viking.n [Kaspersky]

W32/Looked-B [Sophos]

W32/HLLP.Philis.w [McAfee]

W32/Viking.I.worm [Panda])
 

Gefahrenstufe: Hoch
 

Beschreibung: Worm.Viking prepends its malware code to any executable files on the infected system and downloads Trojan.PWSteal.Lineage from www.wowchian.com. It also attempts to replicate through the network by copying itself to the shared folders on the infected system.

Code:

BlackWorm (Kama Sutra

Worm.VB.I)
 

Typ: Wurm
 

Gefahrenstufe: Hoch
 

Beschreibung: BlackWorm is an internet worm that deletes all major anti-virus programs from the users computer. It propogates across the local network exploiting weak shares. This worm is programmed to delete important files and documents from the infected machine on the 3rd of every month. The first deletion is set to be on the 3rd of February, 2006.
 

Hinweis: Toss

Code:

Conducent TimeSink
 

Gefahrenstufe: Mittel
 

Beschreibung: Conducent TimeSink uses the Internet to dynamically deliver content to desktop software. Once the content is received it can be displayed at any time in the application. Content activity information such as advertising impressions and click through data is recorded and sent back to Conducent for daily reporting. Conducent does not provide users with an uninstall feature. Their software provides real-time ad targeting campaigns through the Timesink component TSadbot.exe. Conducent has formed strategic partnerships with most of the major Internet advertising networks.

Code:

MediaMotor (Popuppers)
 

Typ: Adware
 

Gefahrenstufe: Hoch
 

Autor: Roings Ltd.
 

Beschreibung: Media Motor is an adware program which periodically connects to remote sites to download additional malware programs. It installs itself on the users computer without their knowledge and generates various types of advertisements.
 

Hinweis: Toss

Code:

Brilliant Digital
 

Gefahrenstufe: Mittel
 

Autor: www.brilliandigital.com
 

Beschreibung: Brilliant Digital Entertainment's B3D Projector was installed silently with older versions of Kazaa and is not a common threat these days, hence the reason it is on 'Medium' Level. It also installs Altnet without warning or notification.
 

Hinweis: Toss

Code:

Transponder.BI (Transponder/BI

abetterinternet)
 

Gefahrenstufe: Hoch
 

Autor: DirectRevenue
 

Beschreibung: Transponder is an IE Browser Helper Object. It monitors web pages requested and data entered into forms, sends this information to its home server, and opens pop-up advertisement windows. It also has the capability to update itself and install other software. Transponder/Host and Transponder/BI are newer releases under the company name "Better Internet", a new name for the same operators and software. These variants are controlled by stop-popup-ads-now.com and abetterinternet.com respectively.

Noch ne feine Sammlung... :pfui: :schrei:

Ich kapiers immernoch nicht. Ich halte Ad-aware und Antivir immer aktuell und lass meinen Rechner regelmäßig durchscannen. Spybot ist auch drauf und blockiert alle möglichen bösen Prozesse... :headbang:

Ich grab mich ein...

Gruß
Elbspatz

Abend,

na jetzt wirds ja gruselig...

Warst du mit deinem Rechner irgendwie in Verbindung
mit dem anderen? Wenn ja, kein Wunder.

Aber wenn nicht, dann will ich folgendes haben:

1. Erstelle ein Hijackthis-Logfile nach Anleitung
2. Erstelle einen escan nach Anleitung (ohne Dateien zu löschen)
3. Lade dir Blacklight herunter und poste nach Anleitung den Scan
4. Wenn Antivir nichts findet, lade dir den Bitdefender 9
und die Adawre herunter und poste ebenfalls die Ergebnisse.

Ich sehe dich dann später mit jeder Menge Ergebnisse

mfg Cleriker