TR/Dropper.gen angeblich unterC:\Programme\GIGABYTE\EnergySaver\GSvr.exe
 

Hallo,

seit heute morgen meldet antivir am laufenden band, dass unter:

C:\Programme\GIGABYTE\EnergySaver\GSvr.exe

das trojanische pferd: TR/Dropper.gen steckt.

Leider kenne ich mich überhaupt nicht aus. Ich habe eine Log-Datei erstellt. Könnt ihr mir sagen was es ist und vor allem was ich nun tun muss?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:16:29, on 15.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\programme\steam\steam.exe
C:\Programme\buffed\BLASC.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 8\MMReminderService.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia\Common\0a5f00961.dll""
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia\Common\0a5f00961.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: An Mindjet MindManager senden - {2F72393D-2472-4F82-B600-ED77F354B7FF} - C:\Programme\Mindjet\MindManager 8\Mm8InternetExplorer.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8229 bytes

Hallo und :hallo:

zu hijackthis einträge

O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia\Commo n\0a5f00961.dll""

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia\Common\0a 5f00961.dll"" (User 'LOKALER DIENST')

bitte fix checked pc neu starten und ein neues hijackthis posten

bitte installier malwarebytes sowie die hijackthis uninstall liste anleitungen und download steht ab punkt 2 http://www.trojaner-board.de/69886-a...-beachten.html

und vergiss nicht das superantispyware log anleitung und download +hier+

mfg RushHour777

uppsss vergessen schicke mir (das forum) bitte den antivir report nach dem entfehrnen dazu antivir starten/berichte/reporddatei des berichts anzeigen dies hier her posten

mfg RushHour777

Danke für deine rasche Antwort. Ich habe den Rechner neu gestartet und beginne mal mit der Prozedur. Muss allerdings 'nebenbei' arbeiten - kann also dauern.

Der Hinweis auf den Trojaner kam nach dem Hochfahren von Antivir eben wieder.

1) CCleaner hab ich durchgeführt - richtig Platz geschafft. Danke für den Tipp.

2) Malwarebytes durchgeführt - 15 Ergebnisse - siehe Report:

3) Hijackthis - hier benötige ich Hilfe:

Die Liste meiner installierten Programme muss ich nicht posten, oder?

bitte lösche die einträge und schicked noch ei malwarebytes beriche
und mach ein superantispyware scan http://www.trojaner-board.de/51871-a...tispyware.html

wie geht es den rechner ist er schneller geworde????

eidentlich kommt ccleaner zum schluss tja dann musst du es am schluss nochmal machen

mfg RushHour777

Ich führe grad das superantispyware aus. Kann dauern wie ich sehe.

Was soll ich bei Malwarebytes noch mal posten? Die Einträge habe ich gelöscht. Wenn ich neue Einträge posten soll muss ich doch neuen Suchlauf starten oder?

Was die Geschwindigkeit angeht hatte ich ja keine Probleme. Nur die regelmäßig auftauchende Trojanermeldung beunruhigt mich.

Hier die Ergebnisse von Superantisypware:

Warum ich jetzt noch mal die Malwarebytes Einträge schicken soll versteh ich nicht - aber ok:

nein du sollst die einträge entfehrnen uund ein neues malwarebytes anti malware log schicken

mfg RushHour777

Das ist ein Log nach dem Entfernen.

einträge bei malwarebytes entfehrnen und ein neuesmalwarebytes scan und berichts schicken(scannen)

hast du dies gemacht bitte den eintrag bei hijackthis

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia\Common\0a 5f00961.dll"" (User 'LOKALER DIENST')

fix checked pc neustarten und ein akktuelles log posten bzw machen

sollte dies nicht klappen dies im abgesicherten modus machen

klingt komisch muss aber sein

RushHour777

Ok langsam^^.

Zur Zeit lass ich Antivir drüber laufen. Wenn das fertig ist post ich mal nen Log.

Wenn ich heute noch dazu komme mach ich Malwarebytes scan. Und poste das.

Dann Hijackthis. Was ne Arbeit.:schmoll:

ok ja habe ich vergessen antivir scan und den bericht natürlich auch

mfg RushHour777

aber vorher bitte die funde entfehrnen

mfg RushHour777

Hier mein Report von Antivir:

bitte im abgesicherten modus antivir scannen lassen und die funde löschen und zur kontrolle noch ein antivir scan machen aber wenn du zur kontrolle den scan machst die bitte im normalen modus machen

sowie malwarebytes antimalware aber bitte bitte IM ABGESICHERTEN MODUS

sorry muss sein ich muss hunderdprozentig sicher sein das die repords sauber sind:schmoll::schmoll:

bitte die datein beim fund löschen

naja bis dann mfg RushHour777

Malwarebytes sieht gut aus, oder?

Muss ich jetzt noch das Mit Hijackthis machen?

Muss ich jetzt noch was tun?

Sauber wie ich finde - oder müsste ich noch was tun?

und jetzt bitte dies nochmal im normalen modus wenn ein fund repord schicken sollte dies alles sauber sein download ccleaner http://www.trojaner-board.de/51464-a...-ccleaner.html

system säubern und dann bist du erlöst

aber es besteht inmmer noch ein risiko das dein pc noch nicht ganz sauber ist

und bitte noch ein frisches hijackthis log posten

ansonsten mfg RushHour777:daumenhoc

Keine Fehler gefunden. Ich bin ihn los oder? Viiiielen Dank für deine Hilfe - allein hätt ichs nicht geschafft. :)

ja ich denke da ein risikol besteht weiter hin jetzt lass noch ccleaner wie unten beschrieben laufen dann bist du clean

kleine frage sag mal musst du nicht zur Schule du hast um ungefähr 9 uhr geantwortet:rolleyes:

mfg RushHour777

das einzig das hier

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT.000\Anwendungsdaten\Macromedia\Common\0a 5f00961.dll"" (User 'LOKALER DIENST')

bitte fix check pc neustarten und noch ein hijackthis logfile posten
wirst du schon hinbekommen

wenn dies clean ist bist du fertig

mfg RushHour777

Cleaner hab ich laufen lassen.

Hijackthis:

ps: Ich bin kein Schüler - schon lange nicht mehr^^.

bitte nochmal im abgesicherten modus fixen und ein neues hijackthis machen
(nach dem neustart)

dein pc ist noch nicht clean


mfg RushHour777

Das fixen wird in diesem Fall nichts bringen, nach dem nächsten Neustart ist die Malware wieder aktiv! ;)


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

@GCSunny

:eek: wie geht das wieso kann der sich wieder "Regenerieren" :(

mfg RushHour777

Weil du mit HJT nur den Autostart (O4) unterbindest, jedoch, sofern über die Registrierung komplett eingebunden, dieser auch nach dem einem Systemstart wieder mitgestartet wird... ;)

ok danke dir :daumenhoc

mfg RushHour777:daumenhoc

Woran seht ihr denn das? Es funzt doch alles wieder? Was ist noch kaputt? Ich bin leider kein Computerexperte.

Laufe ich nicht Gefahr mir was einzufangen, wenn ich Antivir deaktiviere? Soll ich Internet besser trennen?

Die Internetverbindung trennt das Programm Combofix nach dem ausführen automatisch. ;)

Gruß
Sunny

Bin die Tage total im Stress - viel auf Achse. Werde mich aber mit Combofix auseinandersetzen, sobald ich Zeit hab.

Irre ich mich, oder kann das Benutzen das Programms einige unerwünschte Nebenwirkungen haben?

Combofix kann, wie jeder Antiviren-Scanner, Adware-Scanner oder auch eine simple Desktop-Firewall, seine Nebenwirkungen haben.. ;)