Gozzila.exe ?

Dorfon · 08/12/2011, 04:05

Hey Leute folgendes Problem ich hab einen unerwünschten Prozess undzwar Gozilla.exe ich vermute das auch damals von dort das geschrei kam könnt ihr mir helfen ?

Sir Argon · 08/12/2011, 04:15

hey,

bitte downloade dir HiJackthis und poste den log hier.
Download:

Grüße

Dorfon · 08/12/2011, 12:34

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:33:24, on 12/08/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16839)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\MSI Afterburner\MSIAfterburner.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Logitech\GamePanel Software\LGDevAgt.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\GamersFirst\LIVE!\Live.exe
C:\Program Files\Gomez\GomezPEER\bin\GomezPEER.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\PROGRA~1\Gomez\GOMEZP~1\jre\bin\java.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Pando Networks\Media Booster\PMB.exe
C:\Program Files\Windows Media Player\WMPSideShowGadget.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Benedikt\Downloads\HiJackThis204.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir Desktop\avnotify.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Launch LgDeviceAgent] "C:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: GamersFirst LIVE!.lnk = C:\Program Files\GamersFirst\LIVE!\Live.exe
O4 - Global Startup: GomezPEER.lnk = C:\Program Files\Gomez\GomezPEER\bin\GomezPEER.exe
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Benedikt\AppData\Roaming\DVDVideoSoftIEHe lpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF5BA~1\Office10\EXCEL.EXE/3000
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Users\Benedikt\Desktop\PartyPoker.lnk
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Users\Benedikt\Desktop\PartyPoker.lnk
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) -

- C:\Windows\system32\libusbd-nt.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxcz_device - - C:\Windows\system32\lxczcoms.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: Virtual CD v10 Management Service (VC10SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v10\System\VC10SecS.exe

--
End of file - 7223 bytes

Diablo_ · 08/12/2011, 12:48

Hi,

was ist denn jetzt eigentlich das Problem? Gozzila.exe ist dort nicht zu finden und habe nur verstanden, dass du mal irgendwann Geräusche gehört hast.

Anhand des Logs kann ich eigentlich nur sagen:

- Windows Updates nachholen

- Autostart aufräumen

Grüße

Dorfon · 08/12/2011, 12:49

Ich muss noch nebenbei sagen, dass ich glaub ich irgendein Programm starten muss damit sich dieses Gozilla.exe mitstartet wenn Gozilla.exe bei den prozessen gezeigt wird passieren die komischen dinge wie z.B. Plötzliches Geschrei oder Holländische Werbung oder gestern Abend auch kam plötzlich von League of Legends ein Video/Audio ausschnitt zu hören und nein ich hatte mein Firefox nicht an !

Edit: Achja ich war so schnell als es pasiert ist und habe mal schnell den taskmanager gestartet und gesehen das Gozilla.exe so um die 20.000 k verbraucht

Diablo_ · 08/12/2011, 13:16

Quote:

Originally Posted by Dorfon

Ich muss noch nebenbei sagen, dass ich glaub ich irgendein Programm starten muss damit sich dieses Gozilla.exe mitstartet wenn Gozilla.exe bei den prozessen gezeigt wird passieren die komischen dinge wie z.B. Plötzliches Geschrei oder Holländische Werbung oder gestern Abend auch kam plötzlich von League of Legends ein Video/Audio ausschnitt zu hören und nein ich hatte mein Firefox nicht an !

Edit: Achja ich war so schnell als es pasiert ist und habe mal schnell den taskmanager gestartet und gesehen das Gozilla.exe so um die 20.000 k verbraucht

Hi,

dann suche mal per START (unten links das Symbol) nach dieser .exe und öffne den Dateipfad. Welcher ist es und ist da sonst noch etwas drin?

Grüße

/Edit: Heißt die Datei wirklich Gozzila.exe oder Gozilla.exe?

Dorfon · 08/12/2011, 13:24

Sieht mir nach einem verstecktem Prgoramm aus. Und ich meine es hieß Gozilla.exe warum fragst du denn ?

Diablo_ · 08/12/2011, 13:30

Quote:

Originally Posted by Dorfon

Sieht mir nach einem verstecktem Prgoramm aus. Und ich meine es hieß Gozilla.exe warum fragst du denn ?

Ich frage weil ich dir helfen möchte. Im Threadtitel heißt es Gozzila.exe und jetzt Gozilla.exe? Das sind kleine aber feine Unterschiede.

Wenn es versteckt ist, setze den Haken bei "Versteckte Dateien und Ordner Anzeigen" in den Ordneroptionen in der Systemsteuerung.

Systemsteuerung\Darstellung und Anpassung

Grüße

Dorfon · 08/12/2011, 13:56

Oh mist tut mir leid das war ein Tippfehler mit dem Threadnamen :S Achja ich habe schon den haken bei versteckte ordner anzeigen gesetzt

Diablo_ · 08/12/2011, 14:05

Quote:

Originally Posted by Dorfon

Oh mist tut mir leid das war ein Tippfehler mit dem Threadnamen :S Achja ich habe schon den haken bei versteckte ordner anzeigen gesetzt

Ok, ich schlage vor, wir machen einen Malwarescan, davor guckst du bitte nach, ob dieser Ordner vorhanden ist.

C:\Programme\Go!Zilla

oder

C:\Programme(x86)\Go!Zilla

Bitte Rückmeldung geben und dann damit scannen, nach Anleitung.

Vollständigen Scan und keine Funde löschen. Bitte vorher updaten.

Das Ergebnis bitte hier posten, dazu am Ende des Scans auf "Speichere Logdatei" klicken und dieses Log dann öffnen. Den Inhalt kopieren und hier posten.

Grüße

Dorfon · 08/12/2011, 17:58

Malwarebytes' Anti-Malware 1.51.1.1800

Datenbank Version: 7441

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12/08/2011 17:02:19
mbam-log-2011-08-12 (17-02-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 668106
Laufzeit: 2 Stunde(n), 39 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Benedikt\AppData\Roaming\desktopicon\ebay shortcuts.exe (Adware.ADON) -> No action taken.
c:\Users\Benedikt\Desktop\programme\gsysloader.exe (Trojan.Agent.H) -> No action taken.
c:\Users\Benedikt\Desktop\programme\langeweile.exe (PUP.Joke.Buttons) -> No action taken.
c:\Users\Benedikt\Desktop\teknogods\teknogods\DLLL oad.exe (Backdoor.Agent.Gen) -> No action taken.
c:\Users\Benedikt\downloads\unreal-rage-public-v8\unreal-rage public v8.exe (RiskWare.Tool.CK) -> No action taken.
c:\Users\Benedikt\AppData\Roaming\Svchost.exe (Trojan.Agent) -> No action taken.
c:\Users\Benedikt\AppData\Roaming\data.dat (Stolen.Data) -> No action taken.

Hälfte sind hacks glaub ich <.<

Diablo_ · 08/12/2011, 18:05

Hi,

du solltest dein System neu aufsetzen. Hast ja Windows 7, da kannst du dir die Testversion runterladen und später aktivieren.

Grüße

Dorfon · 08/12/2011, 18:09

Ist da was ernstes?

Diablo_ · 08/12/2011, 18:11

Quote:

Originally Posted by Dorfon

Ist da was ernstes?

Hi,

ja.

c:\Users\Benedikt\AppData\Roaming\Svchost.exe (Trojan.Agent) -> No action taken.
c:\Users\Benedikt\AppData\Roaming\data.dat (Stolen.Data)

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace)

Sind sehr ernst zu nehmen.

Grüße

Dorfon · 08/12/2011, 18:13

Oh mist :s aber naja bin ich glaub ich irgendwo selber schuld gewesen muss ich denn jetzt auch aufpassen welchen dateien ich von mir noch sichern möchte ?