Trojaner-Board - Trojaner Warnung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner Warnung (https://www.trojaner-board.de/59531-trojaner-warnung.html)

Trojaner Warnung

Hallo euch allen :aplaus:

Also ich benutze Antivir 2008.
Jetzt hab ich hier ein Archiv, das mir beim Durchsuchen eine Warnung bringt:

TR/Spy.Gampass.T

gefunden.

Kann mir jemand sagen, um was es sich dabei handelt bzw.
was dieser Trojaner so anrichtet. Bei Google gibts dazu leider nichts.
Zwar TR/Spy.Gampass aber alle mit anderen Endungen.
Also z.B.: Spy.Gampass.CG, oder Spy.Gampass.J aber halt nicht ... .T

Das komische ist nämlich, ich hab dieses Trojaner gefunden,
Antivir Update gemacht und es wurde nichts mehr entdeckt.
Erneutes Update (soll man ja regelmäßig machen) und siehe da,
er wurde wieder gefunden.

MfG

ähhm sorry aber dir sollte es in erster linie nich darum gehen was er anrichtet sondern wie du ihn wieder loswirst Oo nach dem namen zu urteilen wird das Spyware sein die dein Internet verhalten und ähnliches überwacht....

Ähm bitte mal Betriebssystem und Hijackthis Log posten.

Benutzt du XP AntiVir 2008 oder benutzt du Avira AntiVir? :balla:

Lade die bemängelte Datei bitte mal bei virustotal hoch und poste das Ergebnis hier.

lg myrtille

HiJack This log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:32:14, on 09.09.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

E:\Avira\AntiVir PersonalEdition Classic\sched.exe

E:\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

E:\Aston\aston.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

E:\ZoneAlarm\zlclient.exe

E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe

e:\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - E:\Orbitdownloader\orbitcth.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Free Download Manager\iefdm2.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "E:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Download by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Alles mit FDM herunterladen - file://E:\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://E:\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Datei mit FDM herunterladen - file://E:\Free Download Manager\dllink.htm

O8 - Extra context menu item: Do&wnload selected by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://E:\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download video with Free Download Manager - file://E:\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: Download with Free Download Manager - file://E:\Free Download Manager\dllink.htm

O8 - Extra context menu item: Videos mit FDM herunterladen - file://E:\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Mit CompleX Studio bearbeiten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\NKSoft\CompleX\\linker.exe (file missing)

O9 - Extra 'Tools' menuitem: Mit CompleX Studio bearbeiten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - E:\NKSoft\CompleX\\linker.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0781E7CE-7104-426B-B719-ABBDFD7B8466}: NameServer = 192.168.15.99

O17 - HKLM\System\CS1\Services\Tcpip\..\{0781E7CE-7104-426B-B719-ABBDFD7B8466}: NameServer = 192.168.15.99

O17 - HKLM\System\CS2\Services\Tcpip\..\{0781E7CE-7104-426B-B719-ABBDFD7B8466}: NameServer = 192.168.15.99

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

VirusTotal log:

Code:

Antivirus          Version                  letzte aktualisierung          Ergebnis
 

AhnLab-V3                2008.9.6.0                2008.09.09                -

AntiVir                7.8.1.28                2008.09.09                TR/Spy.Gampass.T

Authentium                5.1.0.4                2008.09.05                W32/Heuristic-210!Eldorado

Avast                        4.8.1195.0                2008.09.05                Win32:Spyware-gen

AVG                        8.0.0.161                2008.09.09                Generic10.ORH

BitDefender                7.2                        2008.09.09                Trojan.Generic.253313

CAT-QuickHeal        9.50                        2008.09.02                (Suspicious) - DNAScan

ClamAV                0.93.1                2008.09.09                -

DrWeb                        4.44.0.09170        2008.09.09                -

eSafe                        7.0.17.0                2008.09.09                Suspicious File

eTrust-Vet                31.6.6072                2008.09.05                -

Ewido                        4.0                        2008.09.09                -

F-Prot                4.4.4.56                2008.09.04                W32/Heuristic-210!Eldorado

F-Secure                8.0.14332.0                2008.09.09                W32/Suspicious_U.gen

Fortinet                3.112.0.0                2008.09.09                -

GData                        19                        2008.09.09                Win32:Spyware-gen

Ikarus                T3.1.1.34.0                2008.09.09                Trojan.Generic

K7AntiVirus                7.10.443                2008.09.05                Backdoor.Win32.Suspicious_U.Family

Kaspersky                7.0.0.125                2008.09.09                -

McAfee                5378                        2008.09.05                Generic.dx

Microsoft                1.3903                2008.09.06                -

NOD32v2                3427                        2008.09.09                -

Norman                5.80.02                2008.09.05                W32/Packed_Upack.A

Panda                        9.0.0.4                2008.09.05                Trj/Lineage.BZE

PCTools                4.4.2.0                2008.09.05                Packed/Upack

Prevx1                V2                        2008.09.09                Malicious Software

Rising                20.61.12.00                2008.09.09                -

Sophos                4.33.0                2008.09.09                Sus/ComPack-K

Sunbelt                3.1.1610.1                2008.09.05                VIPRE.Suspicious

Symantec                10                        2008.09.09                Infostealer.Gampass

TheHacker                6.3.0.8.072                2008.09.04                W32/Behav-Heuristic-060

TrendMicro                8.700.0.1004        2008.09.09                TROJ_Generic.A

VBA32                        3.12.8.5                2008.09.05                -

ViRobot                2008.9.9.1369        2008.09.09                -

VirusBuster                4.5.11.0                2008.09.05                Packed/Upack

Webwasher-Gateway        6.6.2                        2008.09.09                Trojan.Spy.Gampass.T

Betriebssystem: Windows XP Home SP2
Avira Anti-Vir Personal - Free Antivirus

Hi,

hast du die Datei ausgeführt?

Es ist imho kein Fehlalarm und wenn du das Programm ausgeführt hast, solltest du schnellstens die Passwörter deiner Accounts von einem sauberen Rechner aus ändern und deinen Rechner neuaufsetzen um sauber zu werden.

lg myrtille

Hi,

ja, ich hab die Datei ausgeführt, da ja keine Meldung mehr kam.
Hab nämlich im I-Net gelesen, das Avira öfters mal solche "Fehlmeldungen" bringt, die durch update verschwinden.

Nun, das scheint ja schief gelaufen zu sein.
aus diesem Grund habe ich natürlich, bevor ich hier gepostet habe,
einen kompletten Systemcheck durchgeführt.
Mit Avira und mit A-squared Free. Beide haben nichts gefunden.

Müßten sie doch aber eigentlich wenn mein System infiziert ist, oder :confused:

Hi,

was hat die Datei in deinem Archiv denn für eine Funktion? Sollte sie Passwörter auslesen?

Es ist durchaus möglich, dass der installierte Trojaner von Antivirenscannern nicht mehr erkannt wird.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier
Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

So, ich habs geschafft :)

Ich hab die Log-Files angehängt,
die wahren nämlich zu lang...

Und weiter gehts:

Ach so, das Programm ist zum entfernen bestimmter unnötiger dll-Dateien,
die gezielt gesucht und gelöcht werden.

lg

Hi,

die Logs sehen sauber aus. Solltest du infiziert sein, dann ist die Malware wirklich gut versteckt. Vielleicht handelt es sich allerdings auch auf einen Fehlalarm
Sende die Datei vielleicht mal als Verdacht auf Fehlalarm bei Antivir ein: Einsenden.

Poste das Ergebnis dann hier.

lg myrtille

Alles klar.
Werd ich mal machen.

Ich danke dir für deine große Hilfe.
Ich frag mich echt, wie man aus den Logs was lesen kann,
aber ich bin ja auch kein Experte :)

LG nierewa

Hi,

das ist alles nur eine Frage der Übung. ;) Die Programme zeigen verschiedene Ladepunkte von Malware an und man muss beim Überprüfen der Punkte dann versuchen die normale Software von Malware unterscheiden. ;)

lg myrtille