Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Nail.exe, Skybi, Trojan Win32.Agent etc.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.09.2005, 20:36   #1
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



hey, hab irgendwie seit längerem ein paar problemchen, die ich nun mal endlich angehen will....! hab einen scan mit dem Bitdefender gemacht, der Nail.exe und Skybi gefunden hat, aber nicht entfernen konnte, ausserdem nervt das T-Secure, das mir immer irgendeinen mist vom Trojan-Dropper.Win32.Agent oä. erzählt.

muss dazu sagen, ich hab keinen plan von dem ganzen hier, und der rechner wird auch von anderen benutzt, vermute also, es ist viel scheiss drauf!!!

hier hab ich wenigstens schonmal das HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:52:00, on 01.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\Program\fspex.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FCH32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FAMEH32.EXE
C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\T-TeleSec Personal Security Service\FSGUI\fsguiexe.exe
C:\PROGRA~1\softwin\BITDEF~1\bdlite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\T-TeleSec Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nivdlf] c:\windows\system32\wwztcj.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender free edition\bdnagent.exe
O4 - HKLM\..\Run: [flryyt] c:\windows\system32\sanjgqh.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1103119781910
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps://fpdownload.macromedia...sh/swflash.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: T-TeleSec Personal Security Service (BackWeb Plug-in - 2581593) - Unknown owner - C:\PROGRA~1\T-TELE~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)




Kann das also bitte mal jemand überprüfen bzw. einem Anfänger einfach erklären, wie ich den mist wieder weg bekomme!? Vielen Dank

Geändert von benni24 (01.09.2005 um 21:11 Uhr)

Alt 01.09.2005, 21:17   #2
Chris14
 

Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



lass diese dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis:
c:\windows\system32\wwztcj.exe
c:\windows\system32\sanjgqh.exe

wenn backdoor - an dieser stelle stoppen, wenn nein wie folgt weitermachen:

fixe diese einträge:
O4 - HKLM\..\Run: [nivdlf] c:\windows\system32\wwztcj.exe
O4 - HKLM\..\Run: [flryyt] c:\windows\system32\sanjgqh.exe r
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

führe mal den Nail.exe Remover aus

lösche im abgesicherten modus diese dateien:
c:\windows\system32\wwztcj.exe
c:\windows\system32\sanjgqh.exe

führe gleich mal eScan aus

neues HJT-Logfile posten
__________________


Alt 01.09.2005, 21:21   #3
Haui45
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



Zitat:
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Das solltest du nicht fixen, da die Prozesse laufen.

Dennoch solltest du dich für eine AV-Anwendung entscheiden: F-secure oder Bitdefender
__________________

Alt 01.09.2005, 21:26   #4
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



bei diesem jotti erschien jeweils folgendes:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.


Will nix falsch machen, vermute also, es geht nun weiter wie beschrieben mit dem fixen!?!?

Alt 01.09.2005, 21:27   #5
Chris14
 

Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



ah die processes laufen davon ja - wusst ich ja garnet, dass der die als ungültig schreibt..


Alt 01.09.2005, 21:30   #6
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



wenn ihr euch dann einig seid, folge ich gerne euren ratschlägen

Alt 01.09.2005, 21:40   #7
Haui45
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



Die beiden Zufallsschlüssel gehören imho zu der Nail.exe
Du solltest den Remover nach Anleitung ausführen und dann ein neues Logfile posten.
Das heißt im Klartext: Führe bis Schritt 6. alles aus wie beschrieben, nur musst du dann eben beide Zufallsschlüssel fixen und die Dateien löschen.
Zitat:
O4 - HKLM\..\Run: [nivdlf] c:\windows\system32\wwztcj.exe
O4 - HKLM\..\Run: [flryyt] c:\windows\system32\sanjgqh.exe r

Die Bitdefender-Einträge, wie gesagt, bitte nicht fixen.

Alt 01.09.2005, 21:50   #8
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



okay, und noch ne ganz dumme frage, wie komme ich in den abgesicherten Modus!?!?

Alt 01.09.2005, 21:52   #9
Haui45
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



Zitat:
Zitat von benni24
okay, und noch ne ganz dumme frage, wie komme ich in den abgesicherten Modus!?!?
Schau dir den Link in meiner Signatur mal etwas genauer an.

Alt 01.09.2005, 21:55   #10
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.




Alt 01.09.2005, 23:22   #11
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



so, zwar hats ein wenig länger gedauert, aber anscheinend wars erfolgreich, oder???
Zumindest der Bitdefender hat noch nix gefunden....




Logfile of HijackThis v1.99.1
Scan saved at 00:20:17, on 02.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
c:\progra~1\softwin\bitdef~1\bdlite.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FSMB32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FCH32.EXE
C:\Programme\T-TeleSec Personal Security Service\Common\FAMEH32.EXE
C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE
C:\Programme\T-TeleSec Personal Security Service\FSGUI\fsguiexe.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\T-TeleSec Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\T-TeleSec Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\T-TeleSec Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender free edition\bdnagent.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://v5.windowsupdate.micro...?1103119781910
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**ps://fpdownload.macromedia...sh/swflash.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\T-TeleSec Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\T-TeleSec Personal Security Service\Common\FSMA32.EXE
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Alt 03.09.2005, 12:02   #12
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



wollte diesmal auf nummer sicher gehen, und hab noch einen escan mit MWAV durchgeführt, wie bei euch beschrieben! Hab mich strikt an die schritte gehalten, die mwav.log wurde erstellt, siehe da, 42 Viren gefunden! hab die find.bat ausgeführt, oben das ergebnis....

Geändert von benni24 (03.09.2005 um 12:15 Uhr)

Alt 03.09.2005, 12:13   #13
benni24
 
Nail.exe, Skybi, Trojan Win32.Agent etc. - Standard

Nail.exe, Skybi, Trojan Win32.Agent etc.



ah, okay, nach mehrmaligem lesen hab ich nun auch das mit der find.bat gecheckt, hier das ergebnis:


Wäre nett, wenn mir jemand sagen könnte, wies nun weitergeht, hab nämlich keinen plan, was ich nun dagegen tun kann.... danke



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 16:51:05 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Fri Sep 02 16:51:29 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
Fri Sep 02 16:52:12 2005 => File C:\WINDOWS\SVCPROC.0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:52:16 2005 => File C:\WINDOWS\system32\8FLYS68SHNF.0LL infected by "Trojan-Downloader.Win32.Small.amg" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:52:40 2005 => File C:\WINDOWS\system32\DRPMON.0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:54:05 2005 => File C:\WINDOWS\system32\SANJGQH.0XE infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:54:45 2005 => File C:\WINDOWS\system32\WWZTCJ.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:54:48 2005 => File C:\WINDOWS\system32\ZXBNZLH.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:56:10 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\yourbrain.0xe infected by "Trojan-Dropper.Win32.Agent.hh" Virus! Action Taken: No Action Taken.
Fri Sep 02 16:58:18 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\49KNWNOZ\Poller[1].0xe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:01:10 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\AJ27AHMR\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.b" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:06:31 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\OXOZWFKN\POLLER[1].0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:07:40 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\RD9FYEEX\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:08:24 2005 => File C:\DOKUME~1\Admin\LOKALE~1\TEMPOR~1\Content.IE5\TG8ZXL0L\DRPMON[2].0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:17:24 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\yourbrain.0xe infected by "Trojan-Dropper.Win32.Agent.hh" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:19:11 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\49KNWNOZ\Poller[1].0xe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:21:42 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AJ27AHMR\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.b" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:26:23 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OXOZWFKN\POLLER[1].0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:27:23 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\RD9FYEEX\SVCPROC[2].0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:28:02 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TG8ZXL0L\DRPMON[2].0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 17:52:24 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
Fri Sep 02 18:13:19 2005 => File C:\WINDOWS\SVCPROC.0XE infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:13:20 2005 => File C:\WINDOWS\system32\8FLYS68SHNF.0LL infected by "Trojan-Downloader.Win32.Small.amg" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:15:50 2005 => File C:\WINDOWS\system32\DRPMON.0LL infected by "Trojan.Win32.Agent.db" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:17:36 2005 => File C:\WINDOWS\system32\SANJGQH.0XE infected by "Trojan.Win32.Agent.ay" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:18:39 2005 => File C:\WINDOWS\system32\WWZTCJ.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:18:42 2005 => File C:\WINDOWS\system32\ZXBNZLH.0XE infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Fri Sep 02 18:18:54 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 16:52:16 2005 => File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Fri Sep 02 16:56:00 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\II10F.tmp tagged as "not-a-virus:AdWare.Sahat.m". Action Taken: No Action Taken.
Fri Sep 02 16:56:04 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\ISF\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 16:56:05 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\koolbar_setup2.exe tagged as "not-a-virus:AdWare.ToolBar.Shopper.f". Action Taken: No Action Taken.
Fri Sep 02 16:56:08 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\SahUpdate\umqltg4cl_.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Fri Sep 02 16:56:09 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\trgen-277797-default.exe tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.d". Action Taken: No Action Taken.
Fri Sep 02 16:56:10 2005 => File C:\DOKUME~1\Admin\LOKALE~1\Temp\XDJ\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 17:17:16 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\II10F.tmp tagged as "not-a-virus:AdWare.Sahat.m". Action Taken: No Action Taken.
Fri Sep 02 17:17:19 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\ISF\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 17:17:19 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\koolbar_setup2.exe tagged as "not-a-virus:AdWare.ToolBar.Shopper.f". Action Taken: No Action Taken.
Fri Sep 02 17:17:22 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\SahUpdate\umqltg4cl_.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
Fri Sep 02 17:17:23 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\trgen-277797-default.exe tagged as "not-a-virus:AdWare.ToolBar.HotSearchBar.d". Action Taken: No Action Taken.
Fri Sep 02 17:17:24 2005 => File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\XDJ\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken.
Fri Sep 02 17:48:27 2005 => File C:\Programme\KoolBar\koolbar.dll tagged as "not-a-virus:AdWare.ToolBar.Shopper.f". Action Taken: No Action Taken.
Fri Sep 02 18:13:20 2005 => File C:\WINDOWS\system32\70tovmto.ini tagged as "not-a-virus:AdWare.Sahat.ao". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 16:48:07 2005 => Offending Folder found: C:\DOKUME~1\Admin\ANWEND~1\everad
Fri Sep 02 16:51:05 2005 => Offending file found: C:\DOKUME~1\Admin\LOKALE~1\Temp\insthelp.dll
Fri Sep 02 16:51:29 2005 => Offending file found: C:\DOKUME~1\Admin\LOKALE~1\Temp\setup_wm.exe
Fri Sep 02 18:18:54 2005 => Total Virus(es) Found: 42
Fri Sep 02 18:18:54 2005 => Total Errors: 202
Fri Sep 02 18:18:54 2005 => Time Elapsed: 01:31:50
Fri Sep 02 18:18:54 2005 => Total Objects Scanned: 95956
Fri Sep 02 16:45:59 2005 => Virus Database Date: 2005/09/01
Fri Sep 02 18:18:54 2005 => Virus Database Date: 2005/09/01
Sat Sep 03 00:30:39 2005 => Virus Database Date: 2005/09/01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Geändert von benni24 (03.09.2005 um 16:57 Uhr)

Antwort

Themen zu Nail.exe, Skybi, Trojan Win32.Agent etc.
adobe, bho, cyberlink, defender, desktop, einstellungen, entfernen, excel, explorer, f-secure, firewall, google, hijack, hijackthis, hijackthis logfile, internet, internet explorer, launch, logfile, object, personal security, plug-in, scan, security, server, shockwave, software, system, trojan, trojan-dropper.win32.agent, vielen dank, wieder weg, windows, windows xp




Ähnliche Themen: Nail.exe, Skybi, Trojan Win32.Agent etc.


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Mehrere Viren gefuden: Win32.Adware.OfferMosquito.A und Win32.Trojan.Agent.KQF
    Log-Analyse und Auswertung - 19.09.2014 (23)
  3. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  4. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  5. Win32/openCandy + Win32.Trojan.Agent.C5K071 auf PC Win7/64bit
    Log-Analyse und Auswertung - 17.01.2014 (3)
  6. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  7. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  8. Gen:Trojan.Heur.LP.sz4aaqOrUbbi und Win32.Trojan.Agent.000000
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (4)
  9. TR/Agent.10512429.1 und Win32/Agent.SZW trojan
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (30)
  10. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  11. win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (59)
  12. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  13. Trojan.Win32.Agent.acra, Trojan-Downloader.JS.gen und noch ein paar weitere
    Log-Analyse und Auswertung - 09.09.2008 (3)
  14. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  15. Trojan.Banker.VB.0D9D0998 und Trojan-Dropper.Win32.Agent.wd
    Log-Analyse und Auswertung - 04.10.2005 (2)
  16. Trojan-Clicker.Win32.Agent.ac / Bachdoor.Win32.PoeBot.a etc
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Nail.exe, Skybi, Trojan Win32.Agent etc. - hey, hab irgendwie seit längerem ein paar problemchen, die ich nun mal endlich angehen will....! hab einen scan mit dem Bitdefender gemacht, der Nail.exe und Skybi gefunden hat, aber nicht - Nail.exe, Skybi, Trojan Win32.Agent etc....
Archiv
Du betrachtest: Nail.exe, Skybi, Trojan Win32.Agent etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.