Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner W32/Gael (https://www.trojaner-board.de/19929-trojaner-w32-gael.html)

moreno111 17.07.2005 19:01
Trojaner W32/Gael
 
hi!!


Mcafee findet diesen Virus bei mir aber der lässt sich einfach nicht entfernen der befälltimmer mehr dateien!!!wie bekomme ich den weg?wäre nett wenn mir jemand helfen könnte!!!

mfg moreno111

Haui45 17.07.2005 19:14
Hallo,

welche Dateien meldet McAfee als infiziert?

Poste ein HijackThis-Logfile.

moreno111 17.07.2005 19:42
hi!

hier mal die log file:

Logfile of HijackThis v1.99.1
Scan saved at 20:40:57, on 17.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\oodag.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\FRAPS\FRAPS.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Valve\Steam\Steam.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\Mo\LOKALE~1\Temp\SQZ4D.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115567490734
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2132D82A-8F56-49DC-AF24-ABE689DB2555}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

infiziert sind .exe dateien auf mehreren partitionen!!

mfg moreno111
_____________
Anm.
Aktive Links editiert!

Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

The Saint 17.07.2005 19:59
@moreno111!

Zitat:
infiziert sind .exe dateien auf mehreren partitionen!!
Welche?

Erstelle ein eScanlogfile lt. Cidre's Anleitung

Weiters deaktiviere alle Links in deinem hijackthis logfile zb. so: http in h**p

moreno111 17.07.2005 20:03
hi!!!

also der virus befindet u.a im system restore auf 2 partionen,dann sind alle dateien auf D: im appz ordner infiziert,z.b realplayer.exe,icq.exe und so weiter kann nicht alle dateien nennen sind zu viele!das mit der systemwiederherstellung hab ich schon versucht,hat aber nicht so wirklich geklappt!???

mfg moreno111

The Saint 17.07.2005 20:10
Zitat:
Zitat von moreno111
hi!!!

also der virus befindet u.a im system restore auf 2 partionen,dann sind alle dateien auf D: im appz ordner infiziert,z.b realplayer.exe,icq.exe und so weiter kann nicht alle dateien nennen sind zu viele!das mit der systemwiederherstellung hab ich schon versucht,hat aber nicht so wirklich geklappt!???

mfg moreno111
Erstelle vorerst einmal eScanlogfile lt. Cidre's Anleitung

Haui45 17.07.2005 20:14
eScan wir dir nicht weiterhelfen, da es ein "echter Virus" ist, d.h. er infiziert andere Dateien.

Entweder du setzt das System gleich neu auf (Anleitung) oder du versuchst es mal mit einem Scan mit McAfee im abgeischerten Modus.

Abgesehen vom Neuaufsetzen wäre es am besten, wenn du einen Virenscanner verwendest, der sein eigenes Minimal-OS mitbringt (AVK hat sowas - aber die CD kostet natürlich was). Eine kostenlose Variante wäre ein Virenscan mit Kantonix. Dazu brauchst du aber einen sauberen Zweit-PC (zum Download von Kantonix).

moreno111 17.07.2005 21:35
hi also escan hat das hier gefunden!!


Sun Jul 17 21:25:46 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.

Sun Jul 17 22:03:26 2005 => File C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken.


mcafee findet den virus w32/gael wie gehabt!!!

also was tun???

mfg moreno111

Cidre 17.07.2005 21:47
Zitat:
C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus!
Hierbei handelt sich IMO um einen Fehlalarm!

Schicke bitte diese Datei zur Überprüfung an Kaspersky, wie hier beschrieben.

btw:
Haui45 hat dir die Alternativen schon aufgezeigt. ;)

Psy25 18.07.2005 13:37
Hi!
Hatte heute früh auch diese nachricht beim Escan:

Zitat:
C:\Programme\WinRAR\uninstall.exe infected by "Backdoor.Win32.PoeBot.d" Virus!
Allerdings, stand dann bei mir noch, das er es renamed hat.

Was hat es nun zu bedeuten?
Muss ich jetzt, das System neu aufsetzen,oder ist es auch nen Fehlalarm, wie von Cidre beschrieben?
Eine neues Update von escan vorhin und ein wiederholter Scan ergab keine befunde. Bin jetzt ratlos.
Hoffe,ihr könnt mir da weiterhelfen.


MFG Psy

Cidre 18.07.2005 14:17
Zitat:
Allerdings, stand dann bei mir noch, das er es renamed hat.
Dann verwendest du eine alte Version von eScan, die noch automatisch löschen konnte.
Zitat:
Muss ich jetzt, das System neu aufsetzen,oder ist es auch nen Fehlalarm, wie von Cidre beschrieben?
Letzteres solltest IMO zutreffender sein.
Wenn es denn irgendjemand mal gebacken kriegt und die Datei an Kaspersky senden würde, wüßten wir es genauer... :rolleyes:
Zitat:
wiederholter Scan ergab keine befunde
Ist klar, der Fehlalarm wurde ja umbenannt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131