Home » Viren, Trojaner & Malware Forum » Trojan.Win32.Obfuscated.gx » Themenansicht

Trojan.Win32.Obfuscated.gx
#0
12.12.2007, 22:51
bako
...neu hier

Beiträge: 3
#1 Hi Leute,

bei mir hat sich grad ganz plötzlich und unerwartet diese Fehlermeldung geöffnet:



Kam ohne Vorwarnung und in der Meldung stand auch nicht drin, zu welchem Programm sie gehört. Hab dann auf "Ok" geklickt, daraufhin hat sich Firefox geöffnet und dann konnte ich diese Datei runterladen:



Hab die Kaspersky Internet Security Suite 6 installiert, die ständig aktualisiert wird und zusätzlich dazu lass ich Spybot regelmäßig meinen PC checken. Muss dazu sagen, dass ich, seit ich meinen PC vor 4 Jahren gekauft habe, niemals Probleme mit Viren oder Trojanern hatte, deswegen bin ich grad etwas überfordert. Woher kommt diese Meldung so plötzlich? Und was soll ich jetzt machen?

Fast jedes Mal, wenn ich im Windows Explorer einen Ordner öffne, kommt die oben genannte Fehlermeldung. Hier noch ein HiJackThis Log:

Code

Logfile of HijackThis v1.99.1
Scan saved at 19:56:25, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Eraser\Eraser.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
Y:\Programme\Trillian\Trillian.exe
Y:\Programme\Portable Firefox\Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
Y:\Programme\SFT Loader\leecher.exe
Y:\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Video - {BC462E4B-C520-4CA9-B1EC-A7DD36FD6D0A} - C:\WINDOWS\windivx.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\XiNetTransport 2\NTAddList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\XiNetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - Y:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - Y:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
Eventuell ist diese Datei für den Trojaner verantwortlich, aber keine Ahnung, ob das stimmt: O2 - BHO: Video - {BC462E4B-C520-4CA9-B1EC-A7DD36FD6D0A} - C:\WINDOWS\windivx.dll

Wie gehe ich jetzt als nächstes vor?

Liebe Grüße und vielen Dank schon mal im Voraus, bako
Seitenanfang Seitenende
12.12.2007, 23:06
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
__________
MfG Argus
Seitenanfang Seitenende
13.12.2007, 21:39
bako
...neu hier

Themenstarter

Beiträge: 3
#3

Zitat

Arnold postete
RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
Mhm, hab die bat gestartet, allerdings kam im Fenster fast überall "... not found". Log sieht dementsprechend auch so aus:

Code

----------------RVAXO.exe first run------------- 
 
Files found: 
 
----------------RVAXO.exe first run------------- 
 
Files found: 
 
C:\WINDOWS\windivx.dll 
 
Uninstallers Rogue scanners: 
 
 
Folders Found: 
 
----------------RVAXO.exe first run------------- 
 
Files found: 
 
C:\WINDOWS\windivx.dll 
 
Uninstallers Rogue scanners: 
 
 
Folders Found: 
 
 
Hosts-file was reset, If you use a custom hosts file please replace it... 
 
--------------RVAXO.exe last run--------------- 
 
Files found: 
 
Folders Found: 
 
--------------RVAXO.exe finished----------------
Ich nehme an, dass diese windivx.dll der Trojaner ist und in der Log ist diese Datei ja aufgelistet. Was genau heißt das jetzt? Dachte, dieses Programm würde meinen PC nur analysieren?
Seitenanfang Seitenende
13.12.2007, 21:46
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 RVAXO hat C:\WINDOWS\windivx.dll entfernt ;)

Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus
Seitenanfang Seitenende
13.12.2007, 21:50
bako
...neu hier

Themenstarter

Beiträge: 3
#5 Systemwiederherstellung ist standardmäßig deaktiviert, da ich meine Festplatte mit TrueCrypt verschlüsselt habe. Sicher ist sicher ;)

Vielen Dank für deine Hilfe, bist der Beste ;) Find ich schade, dass man in Internetforen immer so schlecht seine Dankbarkeit zeigen kann, aber vielen, vielen Dank ;)

Werde mich jetzt auch nach einer neuen Internet Security Suite mit Firewall, Virenscanner und Malware Schutzfunktion etc. umschauen, da Kaspersky wohl nicht so ganz das Gelbe vom Ei ist =/
Seitenanfang Seitenende
13.12.2007, 21:54
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Kaspersky ist GUT,alle scanner laufen hinterher!
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1