Virus nich zu entfernen

  • Virus nich zu entfernen

    Habe seit neuestem das trojanische Pferd TR/Dropper.Gen auf dem PC. Dieser Virus lässt sich net entfernen, egal ob ich auf löschen oder zugriff verweigern drücke. Jetz weiß ich net was ich machen soll. Poste sofort schon ma ne Hijack this Logfile :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:39:48, on 20.04.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\Explorer.EXE
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Programme\Java\jre6\bin\jqs.exe
    D:\WINDOWS\system32\PnkBstrA.exe
    D:\WINDOWS\system32\PnkBstrB.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
    D:\Programme\Java\jre6\bin\jusched.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
    D:\Programme\Messenger\msmsgs.exe
    C:\css_steam\steam.exe
    D:\Dokumente und Einstellungen\Jona&Pascal\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
    D:\Programme\NETGEAR\WG111v3\WG111v3.exe
    D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
    D:\WINDOWS\system32\wbem\wmiapsrv.exe
    D:\Dokumente und Einstellungen\Jona&Pascal\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    d:\dokumente und einstellungen\jona&pascal\lokale einstellungen\anwendungsdaten\cgaow.exe
    D:\Dokumente und Einstellungen\Jona&Pascal\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    D:\Dokumente und Einstellungen\Jona&Pascal\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    D:\Dokumente und Einstellungen\Jona&Pascal\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
    D:\Dokumente und Einstellungen\Jona&Pascal\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = web.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - D:\Programme\AskBarDis\bar\bin\askBar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\Programme\AskBarDis\bar\bin\askBar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [HDAudDeck] D:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Software Informer] "D:\Programme\Software Informer\softinfo.exe" -autorun
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Steam] "c:\css_steam\steam.exe" -silent
    O4 - HKCU\..\Run: [Google Update] "D:\Dokumente und Einstellungen\Jona&Pascal\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [cgaow] "d:\dokumente und einstellungen\jona&pascal\lokale einstellungen\anwendungsdaten\cgaow.exe" cgaow
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NETGEAR WG111v3 Setup-Assistent.lnk = D:\Programme\NETGEAR\WG111v3\WG111v3.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - D:\Programme\PokerStars.NET\PokerStarsUpdate.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
    O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - icq.oberon-media.com/Gameshell…st/1.0/OberonGameHost.cab
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - D:\WINDOWS\System32\TuneUpDefragService.exe

    --
    End of file - 7130 bytes

  • Wenn Dein Scanner das Ding entdeckt verschieb es in Quarantäne. Fahr den Pc runter und starte ihn im abgesicherten Modus. Anschließend schaust Du im Virenscanner im Quarantänebereich nach wo das Ding sitzt. Da gehst Du dann drauf und löschst ihn. Anschließend führst Du eine Systemprüfung durch und das Problem müsste eigendlich erledigt sein. Wichtig ist wie gesagt der abgesicherte Modus, sonst installiert sich das Ding nach dem Löschen immer wieder neu.


    wenns nicht klappt sag mal bescheid das ist nur der einfachste weg :welcome:

  • RE: Virus nich zu entfernen

    d:\dokumente und einstellungen\jona&pascal\lokale einstellungen\anwendungsdaten\cgaow.exe

    Das ist wohl der Verdächtige.
    Kopiere dieses Pfad da oben, gehe auf virustotal.com und paste ihn in das Eingabefeld und lade die Datei hoch. Poste die Ergebnisse bitte.

    Ps. Meine Antwort ist heute nicht mehr Gewiss.

    „Erkläre mir, und ich werde vergessen.
    Zeige mir, und ich werde mich erinnern.
    Beteilige mich, und ich werde verstehen.“

  • RE: Virus nich zu entfernen

    Antivirus Version letzte aktualisierung Ergebnis
    a-squared 4.0.0.101 2009.04.21 -
    AhnLab-V3 5.0.0.2 2009.04.21 -
    AVG 8.5.0.287 2009.04.21 -
    BitDefender 7.2 2009.04.21 -
    ClamAV 0.94.1 2009.04.21 -
    DrWeb 4.44.0.09170 2009.04.21 -
    GData 19 2009.04.21 -
    Kaspersky 7.0.0.125 2009.04.21 -
    McAfee 5591 2009.04.21 -
    McAfee+Artemis 5591 2009.04.21 -
    Microsoft 1.4602 2009.04.21 -
    NOD32 4025 2009.04.21 -
    PCTools 4.4.2.0 2009.04.21 -
    Prevx1 V2 2009.04.21 High Risk Fraudulent Security Program
    Sophos 4.40.0 2009.04.21 -
    Sunbelt 3.2.1858.2 2009.04.21 -
    weitere Informationen
    File size: 270336 bytes
    MD5...: 7625654b5ad17955ae6d127fe6e8420f
    SHA1..: e3909a8bdc415fc430cba295392ea45a213443d8
    SHA256: 9a0120868da59042e471d283268021ce852d1b50eadb9aa5b7c0df7d53804e8f
    SHA512: dc5fded26476d0bfb30bf0513e8f2f14e8223f51bf7c89a4f9bd8a9074bc6768
    1546ed9d079ce13f3fdd45b2029c0f8077ba136ec5f176b93cf2fe2efd4e607c
    ssdeep: 6144:pI9+yThejpItJGHrb5dJyv45hZZu5EyEx:y9+8cSt0H/Jyvwru5EJ
    PEiD..: Armadillo v1.71
    TrID..: File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x365e6
    timedatestamp.....: 0x412cba4e (Wed Aug 25 16:11:58 2004)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x3576c 0x36000 7.38 e8b26b768162a42f9b10d413984ad5db
    .data 0x37000 0x9fe0 0xa000 5.72 dd53f1ddf52e19aab4df9ba9accf45ba
    .rsrc 0x41000 0x4b0 0x1000 1.20 d75afe68c6fa75d5fa94c5ceba321a27

    ( 8 imports )
    > OLEAUT32.dll: -
    > KERNEL32.dll: HeapDestroy, EnumResourceLanguagesW, GetLocalTime, CreateFileA, IsBadWritePtr, GetCurrentProcess, GetPrivateProfileStringW, DeleteTimerQueueEx, WriteFile, FreeEnvironmentStringsA, CreateDirectoryW, MapViewOfFileEx, FreeEnvironmentStringsW, IsDBCSLeadByteEx, GetDiskFreeSpaceA, FileTimeToLocalFileTime, CreateFileMappingW, GetACP, GetPrivateProfileStringA, SearchPathA, SetErrorMode, GetPriorityClass, FindResourceA, MapViewOfFile, GetSystemDefaultLangID, lstrcmpiA, DebugBreak, LockResource, FlushFileBuffers, GetFileType, WinExec, VirtualFree, GetLongPathNameW, GetTimeZoneInformation, HeapReAlloc, TlsSetValue, SetLastError, GetVersion, GetLogicalDriveStringsW, GetDiskFreeSpaceW, GetTimeFormatA, GetTempFileNameA, InitializeCriticalSectionAndSpinCount, SetEvent, InterlockedDecrement, GetEnvironmentStrings, HeapSetInformation, CreateFileMappingA, GetOverlappedResult, GetQueuedCompletionStatus, FileTimeToSystemTime, DeleteFileA, WaitForMultipleObjectsEx, IsValidCodePage, _lclose, LCMapStringW, GetUserGeoID, GetTimeFormatW, RemoveDirectoryW, MoveFileExW, GlobalAddAtomA, UnhandledExceptionFilter, _lopen, LoadLibraryExW, LocalReAlloc, FindResourceW, GetSystemDirectoryW, GetModuleHandleA, VirtualAlloc, OpenMutexA, GetStartupInfoA
    > ADVAPI32.dll: SetFileSecurityW, GetSidSubAuthorityCount, RegOpenKeyW, OpenThreadToken, ConvertSidToStringSidA, AdjustTokenPrivileges, RegDeleteKeyA, CryptReleaseContext, RegOpenKeyExW, RegCreateKeyExA
    > SHLWAPI.dll: StrRetToStrW, PathCanonicalizeW, AssocQueryStringW
    > USER32.dll: AdjustWindowRectEx, GetWindowTextA, GetDCEx, GetMessageW, ReuseDDElParam, GetDesktopWindow, GetMenuStringA, VkKeyScanA, FrameRect, SetMenu, ShowCursor, GetCursorPos, CreateWindowExA, GetDlgItemInt, SendNotifyMessageA, GetCaretPos, GrayStringA, UnpackDDElParam, IsDlgButtonChecked, CreateDialogIndirectParamA, CreateMenu, CallWindowProcW, InsertMenuA, NotifyWinEvent, GetMessagePos, AppendMenuA, EnableMenuItem, UnregisterDeviceNotification, GetSysColorBrush
    > ole32.dll: CoResumeClassObjects, OleSetContainedObject, CLSIDFromString, GetHGlobalFromILockBytes, OleSave, OleLoad, StgIsStorageFile, WriteClassStm, OleCreateMenuDescriptor, CoMarshalInterface, CoRegisterClassObject, CoTaskMemAlloc
    > COMCTL32.dll: ImageList_Create, ImageList_ReplaceIcon, ImageList_GetBkColor
    > MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, _itoa, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, wcschr, wcstoul, _errno, free, iswalnum, _vsnprintf, fclose, wcsncmp, _controlfp, isspace, wcsstr, wcscspn, tolower, _wtoi64, wcstol, _msize, strncmp, swprintf, strchr, toupper, _snwprintf, _ecvt, ctime, _cexit, _c_exit, _exit, rand, _vsnwprintf, _wcsupr, iswdigit, wcstok, wcscmp, time, _expan

  • RE: Virus nich zu entfernen

    Packe sie bitte in ein Zip Archiv (mit Passwort VIRUS wenn dies möglich ist) und lade sie bei Rapidshare hoch. Schicke mir den Link dann per PM.

    „Erkläre mir, und ich werde vergessen.
    Zeige mir, und ich werde mich erinnern.
    Beteilige mich, und ich werde verstehen.“

  • Die Antwort von Avira:

    Sehr geehrte Dame, sehr geehrter Herr,

    Vielen Dank für Ihre Email an Avira's Virenlabor.
    Auftragsnummer: INC00300970.

    Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
    Datei ID Dateiname Größe (Byte) Ergebnis
    25329872 cgaow.exe 264 KB MALWARE


    Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
    Dateiname Ergebnis cgaow.exe MALWARE

    Die Datei 'cgaow.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben in dieser Datei eine Adware oder Spyware Komponente gefunden. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

    Glückwunsch durch uns wurde ein neue MALWARE Variante entdeckt. In den nächsten Tagen sollte es für die meisten Antivirensoftware Applikationen ein Update geben wo diese Signatur mit drin ist und er danach erkannt und beseitigt wird.

    „Erkläre mir, und ich werde vergessen.
    Zeige mir, und ich werde mich erinnern.
    Beteilige mich, und ich werde verstehen.“

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Arilac ()

  • Original von Arilac
    Die Antwort von Avira:

    Sehr geehrte Dame, sehr geehrter Herr,

    Vielen Dank für Ihre Email an Avira's Virenlabor.
    Auftragsnummer: INC00300970.

    Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
    Datei ID Dateiname Größe (Byte) Ergebnis
    25329872 cgaow.exe 264 KB MALWARE


    Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
    Dateiname Ergebnis cgaow.exe MALWARE

    Die Datei 'cgaow.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben in dieser Datei eine Adware oder Spyware Komponente gefunden. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.

    Glückwunsch durch uns wurde ein neue MALWARE Variante entdeckt. In den nächsten Tagen sollte es für die meisten Antivirensoftware Applikationen ein Update geben wo diese Signatur mit drin ist und er danach erkannt und beseitigt wird.

    juhu revolution, ein virus den es vorher net gab !