Trojaner TR/Spy.Goldun.ML - wie entfernen?

06.12.2006, 07:41

hallo in die runde,

habe heute den rechner gestartet und beep beep, antivir meldet sich zu wort mit dem trojaner TR/Spy.Goldun.ML. die datei kann ich über antivir zwar löschen, aber keine zwei minuten später ist sie wieder da. die datei befindet sich im verzeichnis c:/programme/internet explorer/ieexplorer.exe

hier mal ein logfile mit hijackthis, aber ich weiß nicht ob es was bringt. antivir löscht die datei ja immer sobald sie auftaucht, und wenn ich ein logfile erstellen will während antivir mir noch das fenster präsentiert was es mit der datei tun soll hängt sich hijackthis auf.

Logfile of HijackThis v1.99.1
Scan saved at 08:31:38, on 06.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Raptor-Gaming\RGM2\Panel.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
M:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
M:\Programme\Steam\Steam.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
M:\Programme\Opera\Opera.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Dokumente und Einstellungen\Grandfather\Desktop\hijackthis\Hijac kThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B79083C0-88AC-4EE1-82CE-EE5D5917DFEA} - C:\WINDOWS\system32\mobsyncd.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [RemoteControl] M:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Steam] "M:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Link\Core.exe -silent
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - https://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - https://www.fileplanet.com/fpdlmgr/cabs/ ... 2.2.89.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsupda ... 8807529691
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsoftup ... 8863586796
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBDF0DC-1D92-433F-82F0-4433251E3075}: NameServer = 212.18.3.5,192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

wie kriege ich das teil wieder runter?

ich hoffe jemand kann mir helfen...

gruss,
grandtrojaner b.

06.12.2006, 09:08

Moin,
ich vermute, dass du diesen Scann nach dem Löschen bei AntiVir gemacht hast, denn es sind im Moment keine wirklich gefährlichen Einträge zu erkennen außer evtl. das > Wenn unbekannt, dann fixen >

Code:

M:\Programme\Steam\Steam.exe

Diese kannst du fixen, weil unnötig >

Code:

   O2 - BHO: (no name) - {B79083C0-88AC-4EE1-82CE-EE5D5917DFEA} - C:\WINDOWS\system32\mobsyncd.dll (file missing)
   O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
   O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

Du hast keine Firewall außer der WIN-eigenen? Ist letztere aktiviert?
Mit MS-Updates bist du auf dem Laufenden? Wie kommst du daran, ohne den Internet Explorer?
Scanne auch mal nach Spyware mit S&D >>
https://www.dirks-computerecke.de/spybot-anleitung.htm

Mach die Scanns im abgesicherten Modus noch einmal.

06.12.2006, 10:32

Ich bin den losgeworden, indem ich von einer Bart PE CD gebootet habe und dann einen Scan mit Antivir gemacht habe.
Du soltest allerdings nicht das Antivir von der Bart PE CD nehmen, denn das ist wahrscheinlich nicht aktuell.
Außerdem läuft der Internet Explorer natürlich nicht mehr, weil er ja gelöscht wird.

06.12.2006, 12:20

Ich hab grade gelesen, dass Antivir einen Fehler hat und deshalb den Internet Explorer als Trojaner erkennt.

https://www.heise.de/newsticker/meldung/82094

06.12.2006, 12:36

Moin,
danke für die Info, AntiVir betreffend.
Hoffentlich lesen viele mit.
kommst du nun klar, den IE wieder zu beschaffen?
Ich selbst bin nicht betroffen, weil mein Update sicher schon nach der Reparatur von Avira erfolgt ist.

06.12.2006, 14:22

Das lässt sich mit einer Windows XP CD problemlos wiederherstellen.

06.12.2006, 21:32

na gott sei dank. hab ich doch grad mal zum falschen augenblick mein antivir upgedated

nu ist wieder alles gut....

danke!

grandtrojanfree b.

Trojaner TR/Spy.Goldun.ML - wie entfernen?

Trojaner TR/Spy.Goldun.ML - wie entfernen?

Ähnliche Themen

Windows 7 entfernen

Brauche Hilfe beim entfernen von Trojaner und Babylon

Entfernen von Wind. Xp

Hilfe, kann Trojaner nicht entfernen!

Netzwerk entfernen