| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Proxy.Agent.brpWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
16.08.2009, 19:35
| #1 |
 |  TR/Proxy.Agent.brp Hallo liebe Community, seitdem ich einen USB Stick angeschlossen habe und mir gesagt wurde, dass die Autorun.ini verseucht sei, habe ich ein Problem mit einem Trojaner. Mein Antivir sagt mir gleich zu Beginn, dass ich unter "C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp" einen Trojaner hätte. Das kuriose: Die Datei in Temp heißt mal z.B.: -265.exe -714.exe -584.exe -usw. Klartext: Die Datei hat immer wieder einen anderen Namen. Manchmal öffnet sich auch meine Windows Firewall und fragt, ob sie das Programm 265.exe blocken soll. Antivir sagt, der Trojaner heißt "Tr\Proxy.Agent.brp". Im Internet finde ich leider nichts. Könnt ihr mir weiterhelfen? Liebe Grüße |
|
16.08.2009, 21:24
| #2 |
| /// Helfer-Team    | TR/Proxy.Agent.brp Hallo und Herzlich Willkommen!
__________________ - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 6.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
|
16.08.2009, 21:36
| #3 |
| | TR/Proxy.Agent.brp 1.
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:36:10, on 16.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\StrokeIt\StrokeIt.exe C:\DOKUME~1\Gerrit\LOKALE~1\Temp\265.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Miranda IM\miranda32.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\DOKUME~1\Gerrit\LOKALE~1\Temp\265.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [StrokeIt] C:\Programme\StrokeIt\StrokeIt.exe O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248972601109 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5429 bytes |
|
16.08.2009, 21:42
| #4 |
| | TR/Proxy.Agent.brp 3.1 Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\
16.08.2009 22:39 43 filelist.txt
16.08.2009 20:23 1.598.029.824 pagefile.sys
03.08.2009 19:46 251.712 ntldr
24.07.2009 23:25 0 CONFIG.SYS
24.07.2009 23:25 0 MSDOS.SYS
24.07.2009 23:25 0 IO.SYS
24.07.2009 23:25 0 AUTOEXEC.BAT
17.07.2009 22:06 211 boot.ini
10 Datei(en) 1.598.334.306 Bytes
0 Verzeichnis(se), 13.047.906.304 Bytes frei
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\WINDOWS
16.08.2009 20:44 435 system.ini
16.08.2009 20:39 1.674.733 WindowsUpdate.log
16.08.2009 20:30 7.680 Thumbs.db
16.08.2009 20:23 0 0.log
16.08.2009 20:23 2.048 bootstat.dat
15.08.2009 13:56 10.278 SchedLgU.Txt
14.08.2009 14:00 470.178 setupapi.log
14.08.2009 01:55 598.961 iis6.log
14.08.2009 01:55 130.473 comsetup.log
14.08.2009 01:55 77.044 ntdtcsetup.log
14.08.2009 01:55 246.209 tsoc.log
14.08.2009 01:55 19.856 ocmsn.log
14.08.2009 01:55 27.574 tabletoc.log
14.08.2009 01:55 1.374 imsins.log
14.08.2009 01:55 67.517 KB968389.log
14.08.2009 01:55 93.436 netfxocm.log
14.08.2009 01:55 38.396 MedCtrOC.log
14.08.2009 01:55 261.265 ocgen.log
14.08.2009 01:55 26.671 msgsocm.log
14.08.2009 01:55 530.912 FaxSetup.log
14.08.2009 01:55 167.274 msmqinst.log
14.08.2009 01:55 143.056 updspapi.log
14.08.2009 01:45 630 win.ini
05.08.2009 15:21 11.629 KB951978.log
05.08.2009 15:21 10.612 KB954459.log
03.08.2009 22:12 316.640 WMSysPr9.prx
03.08.2009 22:12 1.174 OEWABLog.txt
03.08.2009 22:12 369 DtcInstall.log
03.08.2009 22:11 187 spupdsvc.log.1.log
03.08.2009 22:10 817.922 setuplog.txt
03.08.2009 20:11 561.673 svcpack.log
03.08.2009 20:11 43.760 KB972260.log
03.08.2009 20:11 207.911 KB971633.log
03.08.2009 20:10 204.507 KB970238.log
03.08.2009 20:10 202.999 KB968537.log
03.08.2009 20:10 209.512 KB967715.log
03.08.2009 20:09 209.903 KB961501.log
03.08.2009 20:09 200.939 KB961371.log
03.08.2009 20:09 202.569 KB960803.log
03.08.2009 20:09 213.179 KB960225.log
03.08.2009 20:09 216.756 KB959426.log
03.08.2009 20:08 198.541 KB958687.log
03.08.2009 20:08 192.672 KB958644.log
03.08.2009 20:08 198.695 KB957097.log
03.08.2009 20:08 206.500 KB956803.log
03.08.2009 20:08 200.243 KB956802.log
03.08.2009 20:08 215.957 KB956572.log
03.08.2009 20:07 51.450 KB955839.log
03.08.2009 20:07 191.629 KB955069.log
03.08.2009 20:07 190.913 KB954600.log
03.08.2009 20:07 215.930 KB952954.log
03.08.2009 20:07 197.924 KB952287.log
03.08.2009 20:07 211.397 KB952004.log
03.08.2009 20:06 210.563 KB951748.log
03.08.2009 20:06 206.632 KB951376-v2.log
03.08.2009 20:06 197.459 KB951066.log
03.08.2009 20:06 213.424 KB950974.log
03.08.2009 20:06 198.529 KB950762.log
03.08.2009 20:06 205.642 KB946648.log
03.08.2009 20:06 200.439 KB938464-v2.log
03.08.2009 20:06 192.278 KB923561.log
03.08.2009 20:00 373 cmsetacl.log
03.08.2009 20:00 1.334 sessmgr.setup.log
03.08.2009 17:24 60.683 ie8_main.log
03.08.2009 17:24 60.361 KB972260-IE8.log
03.08.2009 17:23 52.242 KB972636-IE8.log
03.08.2009 17:23 57.942 ie8.log
03.08.2009 17:15 181.790 setupact.log
31.07.2009 18:33 7.308 WgaNotify.log
31.07.2009 14:32 25.300 KB935448.log
31.07.2009 14:30 22.240 KB973346.log
31.07.2009 14:29 21.832 KB952069.log
31.07.2009 14:28 19.786 KB941569.log
31.07.2009 14:28 19.949 KB923689.log
31.07.2009 14:25 19.256 KB944338-v2.log
30.07.2009 02:38 2.829 War3Unin.pif
30.07.2009 02:38 139.264 War3Unin.exe
30.07.2009 01:22 1.348 regopt.log
30.07.2009 00:46 9.108 KB893803v2.log
30.07.2009 00:45 8.663 KB898461.log
30.07.2009 00:44 6.395 KB835221.log
30.07.2009 00:37 8.192 REGLOCS.OLD
30.07.2009 00:33 3.812 KB839210.log
30.07.2009 00:33 8.093 KB912812.log
30.07.2009 00:32 4.161 ODBCINST.INI
30.07.2009 00:31 749 WindowsShell.Manifest
30.07.2009 00:28 37 vbaddin.ini
30.07.2009 00:28 36 vb.ini
25.07.2009 11:47 82.154 spupdsvc.log
25.07.2009 09:33 1.374 imsins.BAK
25.07.2009 09:33 11.782 KB960859.log
25.07.2009 09:33 11.721 KB971657.log
25.07.2009 09:33 11.221 KB971557.log
25.07.2009 09:33 7.368 KB956744.log
25.07.2009 09:32 6.975 KB973869.log
25.07.2009 09:32 11.857 KB973507.log
25.07.2009 09:32 6.570 KB973354.log
25.07.2009 09:31 6.433 KB973540.log
25.07.2009 09:31 19.414 wmsetup.log
25.07.2009 09:30 10.924 KB973815.log
24.07.2009 23:25 0 Sti_Trace.log
24.07.2009 23:25 0 setuperr.log
24.07.2009 23:25 0 nsreg.dat
24.07.2009 23:25 0 control.ini
23.07.2009 18:07 106.736 War3Unin.dat
19.07.2009 03:30 624 wiadebug.log
19.07.2009 03:00 309.744 msxml4-KB954430-enu.LOG
18.07.2009 21:35 50 wiaservc.log
150 Datei(en) 39.266.059 Bytes
0 Verzeichnis(se), 13.047.889.920 Bytes frei
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\WINDOWS\system
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 13.047.894.016 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\WINDOWS\system32
16.08.2009 20:23 2.278 wpa.dbl
14.08.2009 13:00 320.104 perfh007.dat
14.08.2009 13:00 314.508 perfh009.dat
14.08.2009 13:00 40.836 perfc009.dat
14.08.2009 13:00 49.166 perfc007.dat
14.08.2009 13:00 724.842 PerfStringBackup.INI
14.08.2009 11:08 264.616 FNTCACHE.DAT
05.08.2009 15:25 4.122 jupdate-1.6.0_15-b03.log
05.08.2009 10:59 206.336 mswebdvd.dll
03.08.2009 22:10 269 spupdwxp.log
03.08.2009 20:15 8.627 PAV_FOG.OPC
31.07.2009 22:31 34.064 lhacm.acm
31.07.2009 14:32 211.640 TZLog.log
30.07.2009 02:49 24.281.536 MRT.exe
30.07.2009 01:25 0 h323log.txt
30.07.2009 01:20 5.376 antiwpa.dll
30.07.2009 00:36 261 $winnt$.inf
30.07.2009 00:33 2.951 CONFIG.NT
30.07.2009 00:33 16.832 amcompat.tlb
30.07.2009 00:33 23.392 nscompat.tlb
30.07.2009 00:31 488 logonui.exe.manifest
30.07.2009 00:31 488 WindowsLogon.manifest
30.07.2009 00:31 749 cdplayer.exe.manifest
30.07.2009 00:31 749 sapi.cpl.manifest
30.07.2009 00:31 749 wuaucpl.cpl.manifest
30.07.2009 00:31 749 ncpa.cpl.manifest
30.07.2009 00:31 749 nwc.cpl.manifest
30.07.2009 00:29 21.740 emptyregdb.dat
25.07.2009 05:23 145.184 javaw.exe
25.07.2009 05:23 149.280 javaws.exe
25.07.2009 05:23 145.184 java.exe
25.07.2009 05:23 411.368 deploytk.dll
25.07.2009 03:00 73.728 javacpl.cpl
19.07.2009 18:41 11.067.392 ieframe.dll
19.07.2009 15:11 5.937.152 mshtml.dll
17.07.2009 21:01 58.880 atl.dll
12.07.2009 12:21 233.472 wmpdxm.dll
12.07.2009 12:21 4.874.240 wmp.dll
03.07.2009 18:55 206.848 occache.dll
03.07.2009 18:55 915.456 wininet.dll
03.07.2009 18:55 1.208.832 urlmon.dll
03.07.2009 18:55 594.432 msfeeds.dll
03.07.2009 18:55 55.296 msfeedsbs.dll
03.07.2009 18:55 1.469.440 inetcpl.cpl
03.07.2009 18:55 25.600 jsproxy.dll
03.07.2009 18:55 1.985.536 iertutil.dll
03.07.2009 18:55 184.320 iepeers.dll
03.07.2009 18:55 386.048 iedkcs32.dll
03.07.2009 13:01 173.056 ie4uinit.exe
25.06.2009 10:25 147.456 schannel.dll
25.06.2009 10:25 301.568 kerberos.dll
25.06.2009 10:25 56.832 secur32.dll
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 54.272 wdigest.dll
25.06.2009 10:25 136.192 msv1_0.dll
16.06.2009 16:36 81.920 fontsub.dll
16.06.2009 16:36 119.808 t2embed.dll
15.06.2009 12:43 78.848 telnet.exe
15.06.2009 12:43 82.944 tlntsess.exe
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
07.05.2009 17:32 348.160 localspl.dll
28.04.2009 22:20 96.752 vxblock.dll
28.04.2009 22:20 1.858.032 pxsfs.dll
28.04.2009 22:20 436.720 pxwave.dll
28.04.2009 22:20 551.408 pxdrv.dll
28.04.2009 22:20 72.176 pxhpinst.exe
28.04.2009 22:20 219.632 pxmas.dll
28.04.2009 22:20 670.192 px.dll
28.04.2009 22:20 129.520 pxafs.dll
28.04.2009 22:20 66.032 pxinsa64.exe
28.04.2009 22:20 66.544 pxcpya64.exe
19.04.2009 21:46 1.847.296 win32k.sys
16.04.2009 13:24 258.352 unicows.dll
16.04.2009 13:24 44.544 msxml4a.dll
16.04.2009 13:24 82.432 msxml4r.dll
16.04.2009 13:24 131.072 muzmpgsp.ax
16.04.2009 13:24 110.592 tg_dump.dll
16.04.2009 13:24 569.344 muzdecode.ax
16.04.2009 13:24 507.904 MSLUP71.dll
16.04.2009 13:24 122.880 muzeffect.ax
16.04.2009 13:24 110.592 muzmp4sp.ax
16.04.2009 13:24 237.568 OggDS.dll
16.04.2009 13:24 1.046.528 MFC71LU.DLL
16.04.2009 13:24 344.064 msvcr70.dll
16.04.2009 13:24 483.328 muzapp.dll
16.04.2009 13:24 921.600 vorbisenc.dll
16.04.2009 13:24 188.416 vorbis.dll
16.04.2009 13:24 974.848 mfc70.dll
16.04.2009 13:24 45.056 Ogg.dll
16.04.2009 13:24 200.704 muzwmts.dll
16.04.2009 13:24 258.048 muzoggsp.ax
16.04.2009 13:24 89.088 atl71.dll
16.04.2009 13:24 1.060.864 MFC71.dll
16.04.2009 13:24 1.047.552 MFC71u.dll
16.04.2009 13:24 110.592 TG_DUMP0708.DLL
16.04.2009 13:24 352.256 MSLUR71.dll
16.04.2009 13:24 40.960 MAMACExtract.dll
16.04.2009 13:24 118.784 MaDRM.dll
16.04.2009 13:24 167.936 muzapp.exe
16.04.2009 13:24 135.168 muzaf1.dll
15.04.2009 16:51 585.216 rpcrt4.dll
21.03.2009 16:06 1.063.424 kernel32.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 WgaLogon.dll
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
06.03.2009 16:19 286.720 pdh.dll
2102 Datei(en) 417.450.957 Bytes
0 Verzeichnis(se), 13.047.697.408 Bytes frei
|
|
16.08.2009, 21:43
| #5 |
| | TR/Proxy.Agent.brp 3.2 Code:
ATTFilter ----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\WINDOWS\Prefetch
16.08.2009 22:39 11.342 FIND.EXE-0EEAD1A7.pf
16.08.2009 22:39 11.260 CMD.EXE-034B0549.pf
16.08.2009 22:38 41.448 WINRAR.EXE-1A0EFB18.pf
16.08.2009 22:38 15.368 VERCLSID.EXE-28F52AD2.pf
16.08.2009 22:36 54.552 WMIPRVSE.EXE-0D449B4F.pf
16.08.2009 22:35 20.118 HIJACKTHIS.EXE-32795687.pf
16.08.2009 22:35 33.964 AVWSC.EXE-1742FD55.pf
16.08.2009 22:35 16.274 HJTINSTALL.EXE-22F0D5AC.pf
16.08.2009 22:35 17.436 NOTEPAD.EXE-2F2D61E1.pf
16.08.2009 21:31 30.870 WUAUCLT.EXE-1360D60A.pf
16.08.2009 21:04 49.382 MIRANDA32.EXE-0CF63754.pf
16.08.2009 21:03 7.848 JQSNOTIFY.EXE-12F9814B.pf
16.08.2009 20:39 13.982 MSOHTMED.EXE-2BED68F9.pf
16.08.2009 20:38 129.696 MSIEXEC.EXE-330626DC.pf
16.08.2009 20:31 34.736 GUARDGUI.EXE-1FA25B88.pf
16.08.2009 20:30 29.490 RUNDLL32.EXE-4130D489.pf
16.08.2009 20:25 89.852 FIREFOX.EXE-28BE8AE1.pf
16.08.2009 20:25 73.644 UPDATE.EXE-33FE454B.pf
16.08.2009 20:24 1.272.148 NTOSBOOT-B00DFAAD.pf
15.08.2009 13:37 31.042 RUNDLL32.EXE-3F1AE624.pf
15.08.2009 13:36 12.392 RUNDLL32.EXE-6E8D4657.pf
15.08.2009 13:23 4.222 SNDVOL32.EXE-0EC6FD20.pf
15.08.2009 13:22 46.564 AVNOTIFY.EXE-22D2A6A0.pf
15.08.2009 13:21 30.652 ACRORD32.EXE-2660B166.pf
15.08.2009 13:20 48.902 RUNDLL32.EXE-4564570A.pf
15.08.2009 13:20 18.572 WMIAPSRV.EXE-02740A4B.pf
14.08.2009 14:03 22.364 LOGONUI.EXE-312BE1BF.pf
14.08.2009 14:01 13.896 793.EXE-33F83802.pf
14.08.2009 14:01 16.500 RUNDLL32.EXE-3F5F512F.pf
14.08.2009 14:01 32.214 AUTORUN.EXE-3AA949B3.pf
14.08.2009 14:00 15.424 RUNDLL32.EXE-53975A94.pf
14.08.2009 13:48 39.324 IGFXSRVC.EXE-1D88F978.pf
14.08.2009 13:16 49.652 DFRGNTFS.EXE-38C3807C.pf
14.08.2009 13:16 16.486 DEFRAG.EXE-2858C7E2.pf
14.08.2009 13:16 467.830 Layout.ini
14.08.2009 13:01 14.924 CALC.EXE-02A5B4B1.pf
14.08.2009 12:44 74.834 JAVA.EXE-09AD08D6.pf
14.08.2009 12:34 75.434 WINAMP.EXE-065B55C4.pf
14.08.2009 11:56 13.524 OSE.EXE-0108795F.pf
14.08.2009 11:16 20.544 TASKMGR.EXE-06144C13.pf
14.08.2009 11:13 53.886 ADOBE_UPDATER.EXE-2CD881A4.pf
14.08.2009 01:27 92.412 IEXPLORE.EXE-360BBB5C.pf
13.08.2009 23:56 16.830 REGSVR32.EXE-396DEA2C.pf
13.08.2009 23:52 37.884 UPGRADER.EXE-1FA3FB05.pf
13.08.2009 23:51 27.936 PLATASKS.EXE-10A2A63D.pf
13.08.2009 23:50 10.666 GWFEED.EXE-19E19666.pf
13.08.2009 23:48 56.174 AVCIMAN.EXE-0A44BDD9.pf
13.08.2009 23:48 13.548 PAVBCKPT.EXE-1A855DA5.pf
13.08.2009 23:48 6.044 PSCLEAN.EXE-0150186A.pf
13.08.2009 23:47 26.916 SRVLOAD.EXE-059EF434.pf
13.08.2009 23:46 10.040 APVXDWIN.EXE-1522270A.pf
13.08.2009 23:46 15.634 ALG.EXE-275708CF.pf
13.08.2009 23:46 20.500 IMAPI.EXE-201490BB.pf
13.08.2009 20:57 111.434 JAVAW.EXE-2682DC34.pf
54 Datei(en) 3.518.610 Bytes
0 Verzeichnis(se), 13.047.775.232 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\WINDOWS\tasks
16.08.2009 20:23 6 SA.DAT
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 13.047.775.232 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\WINDOWS\Temp
16.08.2009 20:23 16.384 Perflib_Perfdata_474.dat
16.08.2009 20:23 483 WGAErrLog.txt
13.08.2009 23:45 10.387.456 abf58d82dd5c41b2492c2ab2e9ff78c6PSK_PLUGINS_0
04.08.2009 16:03 26.834 PSSysChk.log
04.08.2009 16:03 157.248 cteng_1_2_431249379926.dat
04.08.2009 16:03 1.201 cteng_index.dat
04.08.2009 16:03 289.300 cteng_1_2_401249333223.dat
04.08.2009 16:03 238.408 cteng_1_2_361249387648.dat
04.08.2009 16:03 321.324 cteng_1_2_221249326029.dat
04.08.2009 16:03 315.872 cteng_1_2_211249329631.dat
04.08.2009 16:03 37.040 cteng_1_1_91249356054.dat
04.08.2009 16:03 262.416 cteng_1_1_221249387517.dat
04.08.2009 16:03 25.220 cteng_1_1_211249388928.dat
03.08.2009 20:16 16.384 Perflib_Perfdata_fd4.dat
03.08.2009 20:15 10.387.456 abf58d82dd5c41b2492c2ab2e9ff78c6PSK_PLUGINS_1
03.08.2009 20:14 308.208 cteng_1_2_71249301346.dat
03.08.2009 20:14 12.628 cteng_1_2_431249315759.dat
03.08.2009 20:14 231.932 cteng_1_2_421249292464.dat
03.08.2009 20:14 292.588 cteng_1_2_41249272091.dat
03.08.2009 20:14 354.208 cteng_1_2_411249235498.dat
03.08.2009 20:14 306.112 cteng_1_2_401249302562.dat
03.08.2009 20:14 205.320 cteng_1_2_391249302119.dat
03.08.2009 20:14 245.640 cteng_1_2_381249153235.dat
03.08.2009 20:14 305.328 cteng_1_2_351249248515.dat
03.08.2009 20:14 242.076 cteng_1_2_341249275689.dat
03.08.2009 20:14 200.372 cteng_1_2_311249287409.dat
03.08.2009 20:14 263.924 cteng_1_2_281249250476.dat
03.08.2009 20:14 212.452 cteng_1_2_271249239651.dat
03.08.2009 20:14 326.260 cteng_1_2_231249283121.dat
03.08.2009 20:14 317.348 cteng_1_2_211249141460.dat
03.08.2009 20:14 263.764 cteng_1_2_201249235399.dat
03.08.2009 20:14 245.188 cteng_1_2_181249160437.dat
03.08.2009 20:14 202.608 cteng_1_2_161249296488.dat
03.08.2009 20:14 303.536 cteng_1_2_151249264884.dat
03.08.2009 20:14 20.500 cteng_1_1_231249308019.dat
03.08.2009 20:14 284.936 cteng_1_1_211249293259.dat
03.08.2009 20:14 25.084 cteng_1_1_201249261281.dat
03.08.2009 20:14 63.548 cteng_1_1_161249196621.dat
03.08.2009 20:14 29.840 cteng_1_1_141249201416.dat
03.08.2009 20:14 46.796 cteng_1_1_131249164037.dat
01.08.2009 14:06 334.188 cteng_1_2_221249120053.dat
01.08.2009 03:26 242.408 cteng_1_2_261249077642.dat
01.08.2009 03:26 209.440 cteng_1_2_171249084849.dat
01.08.2009 03:26 217.992 cteng_1_2_141249088442.dat
31.07.2009 23:03 243.684 cteng_1_2_361249074046.dat
31.07.2009 12:04 120.348 cteng_1_2_251248980464.dat
30.07.2009 18:41 254.236 cteng_1_2_301248926453.dat
30.07.2009 18:41 304.620 cteng_1_2_131248937989.dat
30.07.2009 18:41 58.468 cteng_1_1_101248933653.dat
30.07.2009 01:19 12.320 cteng_8_2_21231227908.dat
30.07.2009 01:19 16.804 cteng_8_2_11223394495.dat
30.07.2009 01:19 171.620 cteng_1_2_331248638408.dat
30.07.2009 01:19 324.696 cteng_1_2_291248688830.dat
30.07.2009 01:19 255.504 cteng_1_2_241248105479.dat
30.07.2009 01:19 26.048 cteng_1_1_91248904842.dat
30.07.2009 01:19 39.560 cteng_1_1_81248422443.dat
30.07.2009 01:19 79.260 cteng_1_1_71245874879.dat
30.07.2009 01:19 75.248 cteng_1_1_41248164248.dat
30.07.2009 01:19 23.444 cteng_1_1_221248789814.dat
30.07.2009 01:19 40.168 cteng_1_1_181247673299.dat
30.07.2009 01:19 52.396 cteng_1_1_121248159088.dat
30.07.2009 01:19 51.476 cteng_1_1_111248330340.dat
30.07.2009 00:43 312 IntelGFX.log
24.07.2009 23:30 206 TechsManager.log
24.07.2009 18:27 16.384 Perflib_Perfdata_410.dat
24.07.2009 10:53 16.384 Perflib_Perfdata_254.dat
23.07.2009 10:30 16.384 Perflib_Perfdata_470.dat
18.07.2009 15:58 16.384 Perflib_Perfdata_348.dat
68 Datei(en) 31.013.204 Bytes
0 Verzeichnis(se), 13.047.771.136 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C078-A8A6
Verzeichnis von C:\DOKUME~1\Gerrit\LOKALE~1\Temp
16.08.2009 22:35 114.688 ~DF7BE4.tmp
16.08.2009 22:15 0 etilqs_2rxg8H2dvjq1Nsb72ALW
16.08.2009 20:28 18.886 jusched.log
15.08.2009 13:19 74.752 265.exe
14.08.2009 12:44 13.893 java_install_reg.log
14.08.2009 12:34 367.112 WT99.tmp
14.08.2009 12:34 367.112 WT98.tmp
14.08.2009 12:34 367.112 WT97.tmp
14.08.2009 12:34 367.112 WT96.tmp
14.08.2009 12:34 367.112 WT95.tmp
14.08.2009 12:34 367.112 WT94.tmp
14.08.2009 12:34 367.112 WT93.tmp
14.08.2009 01:54 50.748 dd_ATL90SP1_KB973924UI548B.txt
14.08.2009 01:54 236.576 dd_ATL90SP1_KB973924MSI548B.txt
13.08.2009 23:55 44.802 dd_vcredistUI78DA.txt
13.08.2009 23:55 518.950 dd_vcredistMSI78DA.txt
13.08.2009 23:54 16.871 PavLogInst
13.08.2009 23:52 38.212 PNMSetup.log
09.08.2009 07:25 244 1F1205F7.TMP
05.08.2009 15:23 2.473 java_install_sp.log
05.08.2009 15:23 1.852.928 6741a.mst
05.08.2009 15:22 934 jinstall.cfg
04.08.2009 16:31 26.916 java_install.log
04.08.2009 16:30 1.089.024 441b1f.mst
01.08.2009 19:29 714.528 jre-6u15-windows-i586-iftw.exe
30.07.2009 02:39 4.592 SIntfIcn.ani
30.07.2009 02:39 24.516 SIntfNT.dll
30.07.2009 02:39 19.924 SIntf32.dll
30.07.2009 02:39 12.067 SIntf16.dll
30.07.2009 02:39 36.864 CmdLineExt02.dll
30.07.2009 01:47 0 quVjKVqJ.lnk
30.07.2009 01:40 0 Winamp.tmp
30.07.2009 01:22 124.380 SetupExe(20090730010913B8C).log
25.07.2009 00:44 6.023 jar_cache2806026923132174217.tmp
25.07.2009 00:44 6.023 jar_cache1846644882846557411.tmp
25.07.2009 00:36 6.023 jar_cache4187397533238766541.tmp
25.07.2009 00:34 6.023 jar_cache2760454302676035924.tmp
24.07.2009 20:56 0 fcu5A.tmp
24.07.2009 20:29 0 7vp59.tmp
24.07.2009 20:28 0 z1e58.tmp
24.07.2009 20:28 0 1ru57.tmp
24.07.2009 16:40 367.112 WT54.tmp
24.07.2009 16:40 367.112 WT53.tmp
24.07.2009 16:40 367.112 WT52.tmp
24.07.2009 16:40 367.112 WT51.tmp
24.07.2009 16:40 367.112 WT50.tmp
24.07.2009 16:40 367.112 WT4F.tmp
24.07.2009 16:39 367.112 WT4E.tmp
24.07.2009 16:14 0 5c228.tmp
24.07.2009 16:08 0 iv827.tmp
24.07.2009 16:08 0 zfx26.tmp
24.07.2009 16:08 0 y5h25.tmp
24.07.2009 16:07 0 nkj24.tmp
23.07.2009 17:44 367.112 WT3F.tmp
23.07.2009 17:44 367.112 WT3E.tmp
23.07.2009 17:44 367.112 WT3D.tmp
23.07.2009 17:44 367.112 WT3C.tmp
23.07.2009 17:44 367.112 WT3B.tmp
23.07.2009 17:44 367.112 WT3A.tmp
23.07.2009 17:44 367.112 WT39.tmp
23.07.2009 13:49 0 etilqs_rzS2SHb8ew3qWBozCOAT
18.07.2009 21:35 62 OneNote_MigrationLog.txt
18.07.2009 21:35 5.088 {B2396CF2-2CD8-43AA-9CC7-00CCFD136ECB}
18.07.2009 13:53 367.112 WTE.tmp
18.07.2009 13:53 367.112 WTD.tmp
18.07.2009 13:53 367.112 WTC.tmp
18.07.2009 13:53 367.112 WTB.tmp
18.07.2009 13:53 367.112 WTA.tmp
18.07.2009 13:53 367.112 WT9.tmp
18.07.2009 13:53 367.112 WT8.tmp
17.07.2009 23:49 0 N68Bz8II.lnk
17.07.2009 19:56 367.112 WT7.tmp
17.07.2009 19:55 367.112 WT6.tmp
17.07.2009 19:55 367.112 WT5.tmp
17.07.2009 19:55 367.112 WT4.tmp
17.07.2009 19:55 367.112 WT3.tmp
17.07.2009 19:55 367.112 WT2.tmp
17.07.2009 19:55 367.112 WT1.tmp
83 Datei(en) 21.009.946 Bytes
0 Verzeichnis(se), 13.047.767.040 Bytes frei
|
|
16.08.2009, 21:45
| #6 |
| | TR/Proxy.Agent.brp 4. Code:
ATTFilter Adobe Flash Player 10 Plugin
Adobe Reader 9.1.3 - Deutsch
Avira AntiVir Personal - Free Antivirus
BearShare
CCleaner (remove only)
ClassicPro© v1.12
ContentSAFER for Wizmax
DAEMON Tools Toolbar
EmoDio
Free YouTube to Mp3 Converter version 3.1
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Java(TM) 6 Update 15
Microsoft Office Enterprise 2007
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Miranda IM 0.8.4
MozBackup 1.4.9
Mozilla Firefox (3.5.2)
MSXML 4.0 SP2 (KB954430)
Realtek High Definition Audio Driver
StrokeIt
TeamSpeak 2 RC2
Uninstall 1.0.0.1
VLC media player 1.0.1
Warcraft III: All Products
Winamp
Winamp Lyrics (Explorer Version) v1.22
Windows Internet Explorer 8
Windows XP Service Pack 3
WinRAR
|
|
16.08.2009, 21:51
| #7 | |
| /// Helfer-Team | TR/Proxy.Agent.brp zusätzlich folgende Schritte noch: 1. → besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code:
ATTFilter C:\DOKUME~1\Gerrit\LOKALE~1\Temp\265.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): 2. Code:
ATTFilter BearShare Zitat:
 am besten sofort deinstallieren: unter "Start→ Systemsteureung→ Software→ Ändern/Entfernen..." |
|
16.08.2009, 22:30
| #8 |
| | TR/Proxy.Agent.brp Erstmal bekommst du noch Punkt 5 und 6. 5. Code:
ATTFilter GMER 1.0.15.15020 [bmuj75xl.exe] - http://www.gmer.net
Rootkit scan 2009-08-16 23:28:07
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT F7CF5196 ZwCreateKey
SSDT F7CF518C ZwCreateThread
SSDT F7CF519B ZwDeleteKey
SSDT F7CF51A5 ZwDeleteValueKey
SSDT spip.sys ZwEnumerateKey [0xF73D9CA4]
SSDT spip.sys ZwEnumerateValueKey [0xF73DA032]
SSDT F7CF51AA ZwLoadKey
SSDT spip.sys ZwOpenKey [0xF73BB0C0]
SSDT F7CF5178 ZwOpenProcess
SSDT F7CF517D ZwOpenThread
SSDT spip.sys ZwQueryKey [0xF73DA10A]
SSDT spip.sys ZwQueryValueKey [0xF73D9F8A]
SSDT F7CF51B4 ZwReplaceKey
SSDT F7CF51AF ZwRestoreKey
SSDT F7CF51A0 ZwSetValueKey
SSDT F7CF5187 ZwTerminateProcess
INT 0x62 ? 8656BBF8
INT 0x74 ? 8656ABF8
INT 0x82 ? 8656BBF8
INT 0x84 ? 8656ABF8
INT 0x94 ? 8656EBF8
INT 0xB4 ? 8656BBF8
---- Kernel code sections - GMER 1.0.15 ----
? spip.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F6FF18AC 5 Bytes JMP 8656A1D8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73BC042] spip.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73BC13E] spip.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73BC0C0] spip.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73BC800] spip.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73BC6D6] spip.sys
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\SYSTEM32\winlogon.exe[552] @ C:\WINDOWS\SYSTEM32\winlogon.exe [ntdll.dll!NtLockProductActivationKeys] [0500073E] C:\WINDOWS\SYSTEM32\antiwpa.dll
IAT C:\WINDOWS\SYSTEM32\winlogon.exe[552] @ C:\WINDOWS\SYSTEM32\winlogon.exe [USER32.dll!GetSystemMetrics] [05000756] C:\WINDOWS\SYSTEM32\antiwpa.dll
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 865691F8
Device \Driver\usbuhci \Device\USBPDO-0 863E31F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 865DC1F8
Device \Driver\dmio \Device\DmControl\DmConfig 865DC1F8
Device \Driver\dmio \Device\DmControl\DmPnP 865DC1F8
Device \Driver\dmio \Device\DmControl\DmInfo 865DC1F8
Device \Driver\usbuhci \Device\USBPDO-1 863E31F8
Device \Driver\usbuhci \Device\USBPDO-2 863E31F8
Device \Driver\usbuhci \Device\USBPDO-3 863E31F8
Device \Driver\usbehci \Device\USBPDO-4 863B61F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8656C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8656C1F8
Device \Driver\Cdrom \Device\CdRom0 863841F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 85F2F1F8
Device \Driver\NetBT \Device\NetbiosSmb 85F2F1F8
Device \Driver\usbuhci \Device\USBFDO-0 863E31F8
Device \Driver\usbuhci \Device\USBFDO-1 863E31F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 85F0F1F8
Device \Driver\usbuhci \Device\USBFDO-2 863E31F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 85F0F1F8
Device \Driver\usbuhci \Device\USBFDO-3 863E31F8
Device \Driver\usbehci \Device\USBFDO-4 863B61F8
Device \Driver\Ftdisk \Device\FtControl 8656C1F8
Device \Driver\ultra \Device\Scsi\ultra1Port4Path0Target0Lun0 865DB1F8
Device \Driver\ultra \Device\Scsi\ultra1 865DB1F8
Device \FileSystem\Cdfs \Cdfs 8626E500
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0x60 0x30 0x2D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0x60 0x30 0x2D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCC 0x60 0x30 0x2D ...
---- EOF - GMER 1.0.15 ----
|
|
16.08.2009, 22:36
| #9 |
| | TR/Proxy.Agent.brp 6. Code:
ATTFilter 08/16/09 23:31:52 [Info]: BlackLight Engine 2.2.1092 initialized
08/16/09 23:31:52 [Info]: OS: 5.1 build 2600 (Service Pack 3)
08/16/09 23:31:52 [Note]: 7019 4
08/16/09 23:31:52 [Note]: 7005 0
08/16/09 23:32:45 [Note]: 7006 0
08/16/09 23:32:45 [Note]: 7011 1352
08/16/09 23:32:45 [Note]: 7035 0
08/16/09 23:32:45 [Note]: 7026 0
08/16/09 23:32:46 [Note]: 7026 0
08/16/09 23:32:48 [Note]: FSRAW library version 1.7.1024
08/16/09 23:35:52 [Note]: 2000 1012
08/16/09 23:36:03 [Note]: 7007 0
|
|
16.08.2009, 22:39
| #10 |
| | TR/Proxy.Agent.brp Virustotal: Code:
ATTFilter MD5: 342da2e9651cda132b572e87ff470678
First received: 2009.08.14 06:46:59 UTC
Datum 2009.08.15 08:12:21 UTC [+1D]
Ergebnisse 13/41
Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.16 Trojan-Proxy.Win32.Agent!IK
AhnLab-V3 5.0.0.2 2009.08.15 -
AntiVir 7.9.1.1 2009.08.14 TR/Proxy.Agent.brp
Antiy-AVL 2.0.3.7 2009.08.14 Trojan/Win32.Antavmu.gen
Authentium 5.1.2.4 2009.08.16 -
Avast 4.8.1335.0 2009.08.15 -
AVG 8.5.0.406 2009.08.16 -
BitDefender 7.2 2009.08.16 -
CAT-QuickHeal 10.00 2009.08.16 -
ClamAV 0.94.1 2009.08.16 -
Comodo 1993 2009.08.16 TrojWare.Win32.TrojanProxy.Agent.brp
DrWeb 5.0.0.12182 2009.08.16 Trojan.Qhost.69
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6678 2009.08.14 -
F-Prot 4.4.4.56 2009.08.16 -
F-Secure 8.0.14470.0 2009.08.16 Trojan-Proxy.Win32.Agent.brp
Fortinet 3.120.0.0 2009.08.16 PossibleThreat
GData 19 2009.08.16 -
Ikarus T3.1.1.64.0 2009.08.16 Trojan-Proxy.Win32.Agent
Jiangmin 11.0.800 2009.08.16 Backdoor/Poison.bxn
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.16 Trojan-Proxy.Win32.Agent.brp
McAfee 5711 2009.08.16 -
McAfee+Artemis 5711 2009.08.16 Artemis!342DA2E9651C
McAfee-GW-Edition 6.8.5 2009.08.16 Trojan.Proxy.Agent.brp
Microsoft 1.4903 2009.08.16 -
NOD32 4340 2009.08.16 -
Norman 6.01.09 2009.08.14 -
nProtect 2009.1.8.0 2009.08.16 -
Panda 10.0.0.14 2009.08.16 Trj/CI.A
PCTools 4.4.2.0 2009.08.16 -
Prevx 3.0 2009.08.16 Medium Risk Malware
Rising 21.42.62.00 2009.08.16 -
Sophos 4.44.0 2009.08.16 -
Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.16 Backdoor.Trojan
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.14 -
VBA32 3.12.10.9 2009.08.16 Trojan.Win32.Antavmu.dgq
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.16 -
weitere Informationen
File size: 74752 bytes
MD5...: 342da2e9651cda132b572e87ff470678
SHA1..: 15244297f207e8ed4b255f50974148ed31e9dd1c
SHA256: 718d399f49ae4d80e362ce68ff22afd092a493bfa8a68ffd2c2509c9e5b82484
ssdeep: 1536:WBMWZsyQbYdgv0+5gMwdM9BqjlrsXJD+Sg7qHf0G:WGWrQbY/+5QdLBrs9+
S4G
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x5304
timedatestamp.....: 0x4a7df051 (Sat Aug 08 21:38:25 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44ff 0x4600 5.38 f641ae3f5386fd3e3cf442afb7c2ab61
.rdata 0x6000 0x890 0xa00 4.64 9e345b1611e7be576815c21808561b8d
.data 0x7000 0x3fe0 0x800 5.75 7470aa4fca93bbcf78388899b023dd3f
.rsrc 0xb000 0xc6e8 0xc800 7.72 694d6dc71faf94b29f57ab91737f4392
( 5 imports )
> KERNEL32.dll: GetTimeFormatA, CreateThread, GetModuleHandleA, GetStartupInfoA, Sleep
> USER32.dll: SetWindowPos, MessageBoxA, GetAsyncKeyState, GetForegroundWindow, DialogBoxParamA, SetWindowTextA
> ole32.dll: CoInitialize
> MSVCP60.dll: __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBDABV_$allocator@D@1@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV_$allocator@D@1@@Z, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIABV12@I@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, _length@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, _c_str@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEPBDXZ, _replace@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@IIABV12@@Z, _size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z
> MSVCRT.dll: __p__fmode, __set_app_type, _controlfp, _adjust_fdiv, __p__commode, strlen, _except_handler3, atoi, memcpy, __2@YAPAXI@Z, sprintf, malloc, memset, getenv, memmove, strcmp, __CxxFrameHandler, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _stricmp
( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Antiy-AVL): Armadillo 1.71
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=104B642100AE393924DE01591840320081154BDB' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=104B642100AE393924DE01591840320081154BDB</a>
Bearshare ist deinstalliert! |
|
16.08.2009, 23:23
| #11 |
| /// Helfer-Team | TR/Proxy.Agent.brp hi 1. Lade das SDFix von AndyManchesta eine der folgenden Links herunter: bleepingcomputer.com andymanchesta.com 2. auf deinem Desktop speichern 3. per Doppelklick SDFix.exe starten 4. wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken 5. starte den Rechner im abgesicherten Modus - die Taste [F8] drücken, bevor das Windows-Logo angezeigt wird 6. öffne den neu entstandenen SDFix Ordner 7. mit einem Doppelklick auf die RunThis.bat kannst Du das Skript starten 8. gib ein Y ein, um den Reinigungsprozess zu beginnen 9. nun wirst Du aufgefordert, eine beliebige Taste zu drücken, damit dein Rechner neu aufstarten kann 10. nachdem Neustart, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. 11. nachdem der Lauf beendet ist - Finished - drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden - Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn! 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. poste erneut: Trend Micro HijackThis-Logfile |
|
16.08.2009, 23:46
| #12 |
| | TR/Proxy.Agent.brp 1. Code:
ATTFilter SDFix: Version 1.240
Run by Administrator on 17.08.2009 at 00:35
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 00:42:30
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:cc,60,30,2d,81,18,46,e8,80,92,aa,19,86,59,ee,0b,0b,0a,5c,45,27,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:cc,60,30,2d,81,18,46,e8,80,92,aa,19,86,59,ee,0b,0b,0a,5c,45,27,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:cc,60,30,2d,81,18,46,e8,80,92,aa,19,86,59,ee,0b,0b,0a,5c,45,27,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\muzapp.exe"="C:\\WINDOWS\\system32\\muzapp.exe:*:Enabled:MUZ AOD APP player"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\Miranda IM\\miranda32.exe"="C:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM"
"C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\793.exe"="C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\793.exe:*:Disabled:793"
"C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\265.exe"="C:\\Dokumente und Einstellungen\\Gerrit\\Lokale Einstellungen\\Temp\\265.exe:*:Disabled:265"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
Files with Hidden Attributes :
Finished!
PS: Avira Antivir wollte die SDFix.exe löschen, da sie angeblich infiziert sei. |
|
17.08.2009, 00:02
| #13 |
| | TR/Proxy.Agent.brp MalwareBites läuft gerade und Antivir nennt mir nun eine andere Datei, die diesen "Proxy.Agent.brp" enthalten soll: Code:
ATTFilter In der Datei 'C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVATE1U0\so3b[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Agent.brp' [trojan] gefunden.
|
|
19.08.2009, 08:13
| #14 |
| /// Helfer-Team | TR/Proxy.Agent.brp hi 1. den Internet-Cache komplett per Hand löschen: Explorer - Rechtsklick auf C:\Windows\Temporary Internet Files\Content.IE5 - Suchen - Starten Lösche nun alle Dateien, außer der Datei "Index.dat " 2. Führe dann bitte einen Sicherheits-Check aus: heise Security - c't-Browsercheck --> Sicherheitseinstellungen des Internet Explorer 7 anpassen **dann Punkt 2. und 3. bitte weiter-> http://www.trojaner-board.de/76473-t...tml#post456976 |
|
| Themen zu TR/Proxy.Agent.brp |
| andere, anderen, antivir, autorun.ini, blocken, datei, dokumente, einstellungen, firewall, gen, geschlossen, immer wieder, interne, internet, kuriose, lokale, problem, programm, stick, temp, tr/proxy.agent.brp, usb stick, verseucht, windows, windows firewall, öffnet |
Linear-Darstellung
