Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: winlog.exe ist Backdoor.Agobot.LF?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.09.2009, 19:01   #1
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Hallo liebe Helfer.

Ich bin mir zwar nicht zu hunderprozent sicher, ob es sich hier um einen Trojaner/Viren/Wurmbefall handelt, hab aber eine Vermutung.

Als ich heute einen USB-Stick an meinen Laptop angeschlossen habe und ihn mit Doppelklick öffnen wollte, kam die Fehlermeldung:

winlog.exe - Abbild fehlerhaft
Die Anwendung oder DLL C:\DOKUME~1\<benutzername>\LOKALE~1\Temp\ylk27.tmp ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.

Jedes Mal, wenn ich es erneut versucht habe, änderte sich die Temp-Datei in dieser Meldung in irgendeine andere Buchstabenkombination, was ich schon mal seltsam fand.

Da ich nicht wirklich viel von solchen Dingen verstehe, hab ich erst mal in Google danach gesucht. Danach hab ich HijackThis drüberlaufen lassen und die Auswertung sagte mir, dass ich einen Prozess, der den Namen Winlog.exe enthielt, fixen sollte, was ich getan habe. Außerdem wurde mir geraten, die Datei "Winlog.exe" auf C:\Dokumente und Einstellungen\<benutzername>\Anwendungsdaten\Microsoft zu löschen. Ich hab diese Datei auf einer Website durch mehrere Virenscanner laufen lassen, wo 10 von 21 darauf anschlugen. Der Name "Backdoor.Agobot.LF" kam auch einmal darunter vor, und da ich diesen aus dem Logfile in Verbindung mit Winlog.exe schon bemerkt hatte, hab ich einfach weiter nach diesem Anhaltspunkt gesucht.

Manuell löschen ließ sich die Datei Winlog.exe nicht, also hab ich es mit dem File Shredder von SpyBot versucht. Verschwinden wollte die Datei dennoch nicht gänzlich. Sie benannte sich bei jedem Mal in eine beliebige Buchstabenkombination um, was für mich nach einem schlechten Zeichen aussieht.

Beim Googlen hab ich dann auch gesehen, dass ich in der Registry gewisse Einträge löschen könnte, die bei mir aber nicht vorhanden waren und mir somit auch nicht weiterhalfen.

Ich hab mir also unterm Strich schon die Finger wundgesucht, jedoch nichts gefunden, mit dem ich das ursprüngliche Problem des Öffnens lösen oder diese Datei löschen kann.

Meine Fragen wären nun:
Wobei könnte es sich dabei definitiv handeln? Ist das wirklich der Backdoor.Agobot.LF?
Könnte sich das Problem noch ausweiten, falls ich nichts unternehme?
Wie beseitige ich das Problem?

Neu Aufsetzen möchte ich das System nicht unbedingt. Lösungen ohne dieses Mittel wären toll

Falls es hilft, ich habe ein Toshiba-Notebook aus der Tecra-Serie, Win XP, SP 2.

Über schnelle Hilfe würde ich mich freuen, durch Erfahungen in der Vergangenheit tendiere ich dazu, unruhig zu werden und irgendwelchen Käse anzustellen bei dem Versuch, etwas zu reparieren

Liebe Grüße, freakout

Alt 03.09.2009, 20:41   #2
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Hallo und
Zitat:
Wobei könnte es sich dabei definitiv handeln? Ist das wirklich der Backdoor.Agobot.LF?
Quelle: W32/Agobot-LF Win32-Wurm (Backdoor.Agobot.gen, W32/Gaobot.worm.gen.e, Win32/Agobot.3.RD, W32.HLLW.Gaobot.gen, WORM_AGOBOT.MG) - Sophos Sicherheitsanalyse
Zitat:
W32/Agobot-LF ist ein Netzwerkwurm, der unbefugten Fernzugriff auf den Computer mittels IRC-Kanälen ermöglicht. W32/Agobot-LF kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC-Locator-Schwachstellen ausnutzt. Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen bzw. patchen können, finden Sie in den Microsoft Security Bulletins MS03-001 und MS03-026. MS03-026 wurde durch den Microsoft Security Bulletin MS03-039 ersetzt. W32/Agobot-LF verschiebt sich als winlog.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass er beim Systemstart ausgeführt wird: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Login = winlog.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Login = winlog.exe Auf NT-basierten Windows-Versionen erstellt der Wurm einen neuen Dienst namens "Windows Login", für den die Starteigenschaften auf automatisch gestellt sind, so dass der Dienst automatisch bei jedem Start von Windows aktiviert wird. W32/Agobot-LF versucht, verschiedene Antiviren- und Sicherheitsprogramme zu beenden und zu deaktivieren. Er versucht außerdem, Prozesse zu beenden, die mit der W32/Blaster-Wurmfamilie im Zusammenhang stehen. W32/Agobot-LF sammelt Systemdaten und Registrierungsschlüssel beliebter Spiele, die auf dem Computer installiert sind.
Zitat:
Könnte sich das Problem noch ausweiten, falls ich nichts unternehme?
Das Zitat sollte diese Frage beantworten. Das sämtliche Passwörter, Zugangsdaten, Seriennummern schon irgendwo hin verschickt sind, davon kannst du ausgehen. Warum du mit der verseuchten Kiste immer noch im Internet bist, ist nicht wirklich nachzuvollziehen. Warum du anstatt simpel neuzuinstallieren lieber stundenlang recherchierst auch nicht.
Zitat:
bei dem Versuch, etwas zu reparieren
Das sämtliche Daten schon verschickt wurden, da ist nichts mehr dran zu reparieren.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas
__________________

__________________

Alt 03.09.2009, 21:01   #3
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Erst mal danke für die schnelle Antwort

Das mit dem Neuinstallieren ist so ne Sache *hust* Ich hab das schon einige Male hinter mir und mir graut wenn ich nur daran denke

Ja, das hab ich auch schon durchgelesen. Das Problem war jetzt eben, dass ich auf keinen Fall Neuinstallieren wollte, wenn ich nicht sicher bin ob das wirklich so ein Backdoor-Trojaner ist. Das mit der Fehlermeldung ist eben erst seit heute (genauer genommen seit den letzten 5 Stunden) und ich hab mich gefragt, ob ich vielleicht einfach nur falsch recherchiert hab und das ganze einen anderen Usprung hat.

In deinem ersten Zitat steht eben auch das mit den Registryeinträgen, die ich bei mir einfach nicht finden kann. Ich hatte die Hoffnung, dass das ein Gegenbeweis ist

Tut mir leid dass ich noch mal so doof frage, ich will nur sichergehen: Diese Programme unter Punkt 2 alle ausführen und Logs daraus posten? (Oder verstehe ich das alles wieder falsch?)

Liebe Grüße
__________________

Alt 03.09.2009, 21:08   #4
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Ja. Das Teil ist uralt und die Wahrscheinlichkeit einer Falschmeldung eher gering.
Zitat:
Ich hab das schon einige Male hinter mir und mir graut wenn ich nur daran denke
Dann solltest du zuerst auf die letzten beiden Links in meiner Signatur klicken, alles aufmerksam lesen und auswendig lernen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.09.2009, 22:34   #5
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Okay, hab jetzt alles durchlaufen lassen, was so empfohlen wurde.

Hier die Logs:

MBAM-LOG:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2737
Windows 5.1.2600 Service Pack 2

03.09.2009 23:11:05
mbam-log-2009-09-03 (23-11-05).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85825
Laufzeit: 13 minute(s), 24 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.


RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by ** at 2009-09-03 23:22:11
Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (34%) free of 10 GB
Total RAM: 511 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:25, on 03.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DC8ZDZ0U\RSIT[1].exe
C:\Programme\Trend Micro\HijackThis\**.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6357 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-02 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-29 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-07-25 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-07-25 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-29 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-29 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-04-02 198160]
"ZCfgSvc.exe"=C:\WINDOWS\system32\ZCfgSvc.exe [2006-08-03 639040]
"PRONoMgr.exe"=C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2005-07-07 135168]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-07-13 292128]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll [2006-08-03 188482]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7631c890-7a06-11de-adb5-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{869951e0-774b-11de-adae-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03150-7b80-11de-adb9-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03151-7b80-11de-adb9-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3312-1f94-11de-ad11-00080d041138}]
shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3315-1f94-11de-ad11-00080d041138}]
shell\AutoRun\command - G:\winlog.exe
shell\open\command - G:\winlog.exe


======List of files/folders created in the last 1 months======

2009-09-03 23:22:11 ----D---- C:\rsit
2009-09-03 22:53:08 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-03 22:12:02 ----D---- C:\Programme\CCleaner
2009-09-03 19:15:56 ----D---- C:\Programme\PowerTools Lite
2009-09-03 18:44:28 ----D---- C:\Programme\Unlocker
2009-08-22 00:35:31 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-22 00:34:53 ----A---- C:\WINDOWS\system32\GEARAspi.dll
2009-08-22 00:34:06 ----D---- C:\Programme\iPod
2009-08-22 00:33:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-22 00:33:08 ----D---- C:\Programme\iTunes
2009-08-22 00:31:56 ----D---- C:\Programme\Bonjour
2009-08-22 00:30:17 ----D---- C:\Programme\QuickTime
2009-08-22 00:30:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-22 00:29:12 ----D---- C:\Programme\Apple Software Update
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2009-08-22 00:28:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-08-05 13:40:23 ----N---- C:\WINDOWS\Setup1.exe
2009-08-05 13:40:22 ----A---- C:\WINDOWS\ST6UNST.EXE

======List of files/folders modified in the last 1 months======

2009-09-03 23:21:35 ----D---- C:\WINDOWS\Prefetch
2009-09-03 23:18:10 ----D---- C:\WINDOWS\Temp
2009-09-03 23:17:28 ----D---- C:\WINDOWS
2009-09-03 23:15:50 ----D---- C:\WINDOWS\system32\drivers
2009-09-03 23:15:22 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-03 23:11:05 ----SD---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft
2009-09-03 22:52:57 ----RD---- C:\Programme
2009-09-03 19:23:01 ----D---- C:\WINDOWS\system32\LogFiles
2009-09-03 19:23:01 ----D---- C:\WINDOWS\Debug
2009-09-03 19:16:03 ----D---- C:\WINDOWS\system32
2009-09-03 17:27:30 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-27 00:43:59 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Audacity
2009-08-22 01:36:18 ----HD---- C:\WINDOWS\inf
2009-08-22 00:35:41 ----SHD---- C:\WINDOWS\Installer
2009-08-22 00:34:53 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-19 00:24:46 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-08-17 11:19:34 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\gtk-2.0

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-07-28 17801]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-08-03 10970]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-08-22 98752]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\System32\DRIVERS\e1000325.sys [2007-06-05 171416]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NeroCd2k;NeroCd2k; C:\WINDOWS\system32\drivers\NeroCd2k.sys [2001-04-16 44227]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 sdbus;sdbus; C:\WINDOWS\System32\DRIVERS\sdbus.sys [2004-08-03 67584]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-11-04 519168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 w70n51;Intel(R) PRO/Wireless 7100 Adaptertreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w70n51.sys [2006-07-13 674560]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2007-08-08 101120]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NETGEAR_MA111;NETGEAR 802.11b MA111 Driver; C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2003-08-29 644608]
S3 PAC207;Trust WB-1400T Webcam; C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-03 11136]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-03 10240]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 YMIDUSB;Yamaha Corporation USB MIDI Driver; C:\WINDOWS\System32\Drivers\ymidusb.sys [2007-09-04 16768]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-07-09 144712]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-29 152984]
R2 RegSrvc;RegSrvc; C:\WINDOWS\system32\RegSrvc.exe [2006-08-03 122880]
R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\system32\S24EvMon.exe [2006-08-03 426051]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-07-15 45056]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-30 182768]
S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\NCS\Sync\NetSvc.exe [2003-04-29 139264]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------


Geändert von freakout (03.09.2009 um 22:54 Uhr)

Alt 03.09.2009, 22:35   #6
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



und hier noch der letzte Log, ging sich im letzten Post nicht aus und ich hab natürlich wieder mal keine Ahnung, wie man das umgehen kann...

RSIT:

info.txt logfile of random's system information tool 1.06 2009-09-03 23:22:26

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Audacity 1.3.5 (Unicode)-->"C:\Programme\Audacity 1.3\unins000.exe"
BitComet FLV Converter 1.0-->C:\Programme\BitComet FLV Converter\uninst.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
Intel(R) PROSet-->MsiExec.exe /I{74C9DFA1-338F-4bf3-B317-99A9EC8EF9A6}
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Last.fm 1.5.4.24567-->"C:\Programme\scrobbler last.fm\Last.fm\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mobile Connect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7 -removeonly
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
PowerTools Lite-->"C:\Programme\PowerTools Lite\unins000.exe"
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SbX Rechnungswesen HLWFW 1I 08-09-->"C:\Programme\SbX-Manz\Rechnungswesen HLWFW 1I 08-09 - 9783706830775\unins000.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Trust WB-1400T Webcam-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{30837A37-8F9F-4817-8B52-C501B67DC3BE} /l1031
Unlocker 1.8.7-->C:\Programme\Unlocker\uninst.exe
Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6i-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
YAMAHA Musicsoft Downloader 5-->C:\Programme\InstallShield Installation Information\{6D3C6846-CDB6-418F-8FDB-DA21FE064F86}\setup.exe -runfromtemp -l0x0007 -removeonly

=====HijackThis Backups=====

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-02]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-04-02]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-04-02]
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-09]
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe [2009-04-22]
O4 - HKCU\..\Run: [winlog.exe] C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe [2009-09-03]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======System event log======

Computer Name: **
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 5413
Source Name: Service Control Manager
Time Written: 20090723145221.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: **
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5412
Source Name: Service Control Manager
Time Written: 20090723145220.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 4202
Message: Es wurde festgestellt, dass der Netzwerkadapter "Intel(R)...Mobile Connection - Paketplaner-Miniport" vom Netzwerk getrennt wurde,
und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise
ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde.
Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.

Record Number: 5411
Source Name: Tcpip
Time Written: 20090723145215.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 7036
Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".

Record Number: 5410
Source Name: Service Control Manager
Time Written: 20090723145207.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5409
Source Name: Service Control Manager
Time Written: 20090723145205.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: **
Event Code: 102
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 3205
Source Name: ESENT
Time Written: 20090903165707.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 100
Message: MsnMsgr (1616) Das Datenbankmodul 5.01.2600.2180 ist gestartet.

Record Number: 3204
Source Name: ESENT
Time Written: 20090903165707.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 101
Message: MsnMsgr (1616) Das Datenbankmodul wurde beendet.

Record Number: 3203
Source Name: ESENT
Time Written: 20090903165632.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 103
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 3202
Source Name: ESENT
Time Written: 20090903165632.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 102
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 3201
Source Name: ESENT
Time Written: 20090903132017.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0905
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Liebe Grüße, freakout

Alt 03.09.2009, 23:04   #7
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Hallo Miss Addicted,

jetzt bin ich neugierig geworden. Den nächsten Schritt brauchst du nur dann zu tun, wenn du genau wissen möchtest, was es eigentlich war.

Hole die Datei winlog.exe aus der Quarantäne von Malwarebytes und lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Bei Malwarebytes solltest du einen vollständigen Scan machen. Steht so auch in der Anleitung, bitte nachholen.

1.) Deinstalliere:
  • Apple Software Update
  • Bonjour
  • Google Toolbar for Internet Explorer
  • Java(TM) 6 Update 11
  • MSIE 7
  • Spybot - Search & Destroy
  • VideoLAN VLC media player 0.8.6i
2.) Installiere (Toolbars immer abwählen, Haken weg):3.) Start => Ausführen => cmd => OK
Code:
ATTFilter
sc stop JavaQuickStarterService [Enter]
sc delete JavaQuickStarterService [Enter]
sc stop gusvc [Enter]
sc delete gusvc [Enter]
sc stop "Bonjour Service" [Enter]
sc delete "Bonjour Service" [Enter]
exit [Enter]
         
4.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O2, O3, O8, O9 und O16-Einträge
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
         
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.09.2009, 23:18   #8
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Werd ich machen, bin auch neugierig

Heißt das, das Problem ist jetzt behoben? *auf Freudentanz vorbereit*

Soweit ich mich erinnern kann, hab ich bei Malewarebytes einen vollen Scan gemacht, so wie es in der Anleitung gestanden ist

Du hast ja geschrieben, ich solle die Google Toolbar und Spybot deinstalliern. Warum denn das?

Und ist es unbedingt notwendig, den IE 8 zu installieren? (Nicht, dass ich jetzt aufmüpfig sein will Bin nur ein Gewohnheitstier )

Liebe Grüße

EDIT: Okay, hab grad gesehen dass ich keinen Komplettscan gemacht hab... Tja wenn man oben und unten nicht unterscheiden kann *seufz*

Alt 03.09.2009, 23:27   #9
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Zitat:
Heißt das, das Problem ist jetzt behoben? *auf Freudentanz vorbereit*
Ja. Wir können zur Sicherheit auch noch weitere Scans machen, falls du möchtest.
Zitat:
Soweit ich mich erinnern kann, hab ich bei Malewarebytes einen vollen Scan gemacht, so wie es in der Anleitung gestanden ist
Zitat:
Scan-Methode: Quick-Scan
Zitat:
Du hast ja geschrieben, ich solle die Google Toolbar und Spybot deinstalliern. Warum denn das?
Falls du die Google-Toolbar bewußt installiert hast, dann kannst du sie behalten. Spybot hat die besten Tage schon lange hinter sich. Du hast jetzt Malwarebytes, der ist besser, wie du ja selbst gesehen hast.
Zitat:
Und ist es unbedingt notwendig, den IE 8 zu installieren?
Aus Sicherheitsgründen sollte immer mit der aktuellen Software gearbeitet werden. Falls dir Sicherheit nicht so wichtig ist, dann behalte den 7er. Falls dir Sicherheit wichtig ist, dann solltest du sowieso lieber mit einem vernünftigen Browser wie Firefox oder Opera surfen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.09.2009, 23:31   #10
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Wegen Deinstallation und Installation: Meine Fragen sind beantwortet, vielen Dank

Ich trau mich das jetzt fast nicht zu sagen, aber ich hab grad eben nochmal versucht einen USB-Stick zu öffnen... Und die Winlog.exe ist wieder da Kann das daran liegen, dass sie noch in der Quarantäne lag?
(Wo finde ich den Quarantäneordner eigentlich? Hab schon gesucht wegen dem Upload, finde ihn aber nicht...)

Und ich hab mich schon gefreut

Alt 03.09.2009, 23:40   #11
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



1.) Stoppe den Scan mit Malwarebytes.

2.) Lade die Datei
Code:
ATTFilter
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe
         
bei uns hoch.

3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden.

4.) Stecke den USB-Stick an. Im Hauptverzeichnis des USB-Sticks sollte eine Autorun.inf zu sehen sein. Die musst du löschen.

5.) Dann kontrolliere auch nochmal alle anderen Laufwerke und lösche alle Autorun.inf.

6.) Danach Malwarebytes wieder starten. Der USB-Stick muss angesteckt bleiben.

ciao, andreas

Edit: Das ist Poison Ivy. Ein Remote Administration Tool ? Wikipedia Sofort die Internetverbindung kappen und erst nach dem Scan von Malwarebytes wieder herstellen.
Code:
ATTFilter
Datei winlog.exe empfangen 2009.09.03 23:12:59 (UTC)
Status:    Beendet 
Ergebnis: 17/41 (41.47%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.09.03	Downloader.IRCBot!IK
AhnLab-V3	5.0.0.2	2009.09.03	-
AntiVir	7.9.1.8	2009.09.03	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2009.09.03	-
Authentium	5.1.2.4	2009.09.03	W32/CeeInject.A.gen!Eldorado
Avast	4.8.1351.0	2009.09.04	-
AVG	8.5.0.409	2009.09.03	BackDoor.Generic11.YWN
BitDefender	7.2	2009.09.04	Trojan.Inject.VP
CAT-QuickHeal	10.00	2009.09.02	-
ClamAV	0.94.1	2009.09.03	-
Comodo	2196	2009.09.04	-
DrWeb	5.0.0.12182	2009.09.03	BackDoor.IRC.Sdbot.4893
eSafe	7.0.17.0	2009.09.03	-
eTrust-Vet	31.6.6719	2009.09.03	-
F-Prot	4.5.1.85	2009.09.03	W32/CeeInject.A.gen!Eldorado
F-Secure	8.0.14470.0	2009.09.03	-
Fortinet	3.120.0.0	2009.09.03	-
GData	19	2009.09.04	Trojan.Inject.VP
Ikarus	T3.1.1.72.0	2009.09.03	Downloader.IRCBot
Jiangmin	11.0.800	2009.09.03	Backdoor/Poison.bfy
K7AntiVirus	7.10.835	2009.09.03	-
Kaspersky	7.0.0.125	2009.09.04	-
McAfee	5730	2009.09.03	-
McAfee+Artemis	5730	2009.09.03	Artemis!040A82BDFC0F
McAfee-GW-Edition	6.8.5	2009.09.04	Heuristic.LooksLike.Trojan.Dldr.Agent.C
Microsoft	1.5005	2009.09.03	-
NOD32	4392	2009.09.03	a variant of Win32/Injector.TW
Norman	6.01.09	2009.09.03	-
nProtect	2009.1.8.0	2009.09.03	-
Panda	10.0.2.2	2009.09.03	-
PCTools	4.4.2.0	2009.09.03	-
Prevx	3.0	2009.09.04	High Risk Cloaked Malware
Rising	21.45.14.00	2009.09.01	-
Sophos	4.45.0	2009.09.04	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.09.03	-
Symantec	1.4.4.12	2009.09.04	-
TheHacker	6.3.4.3.396	2009.09.04	-
TrendMicro	8.950.0.1094	2009.09.03	-
VBA32	3.12.10.10	2009.09.03	OScope.Buzus.ah
ViRobot	2009.9.3.1916	2009.09.03	Backdoor.Win32.Poison.79872.B
VirusBuster	4.6.5.0	2009.09.03	-
weitere Informationen
File size: 171520 bytes
MD5...: 040a82bdfc0f802af883531aca115d6a
SHA1..: bc8e8a735a2fefa7f3ec03adce177d992120d695
SHA256: 4e5160844cb54ba2deafa63e8d8be7647f6df0a8e0cc7dffb8ac2a1f1aaffdf4
ssdeep: 3072:lbxWwzZ1v+JglLpykPKaJP2J8r7prXy3FBw50L:dA8JZPDP2S1ry3F65
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x63c8
timedatestamp.....: 0x4a1f0df3 (Thu May 28 22:19:31 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5554 0x5600 5.48 d6451ae2d0648da74e379b678012480c
.rdata 0x7000 0x7a2 0x800 4.95 da84c31bcab61e18054fcbc9cbead0a0
.data 0x8000 0x808 0x400 5.91 1cc94189f7b844df3211fbddd3aec888
.rsrc 0x9000 0x23630 0x23800 7.97 a17ef2d06b82e44d51bbe3f54bbe2042

( 5 imports ) 
> KERNEL32.dll: GetModuleHandleA, ExitProcess, LoadLibraryA, GetProcAddress, CreateThread, GetTimeFormatA, Sleep, GetStartupInfoA
> USER32.dll: UpdateWindow, GetSystemMetrics, RegisterClassA, LoadCursorA, PostQuitMessage, SetDlgItemTextA, CreateWindowExA, GetWindowRect, LoadIconA, MessageBoxA, LoadImageA, ReleaseDC, GetDCEx, WaitMessage, DispatchMessageA, TranslateMessage, PeekMessageA, ShowWindow, DefWindowProcA, DestroyWindow, SetFocus
> GDI32.dll: CreateCompatibleBitmap, CreateRectRgnIndirect, DeleteObject, GetStockObject, GetObjectA
> MSVCP60.dll: __8std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __9std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z
> MSVCRT.dll: strlen, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _onexit, __dllonexit, memmove, memset, getenv, memcpy, __2@YAPAXI@Z, atoi, _except_handler3, rand, sprintf, _controlfp

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=D8D3CD7900B652659EDB02073883FB002513B9E3' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=D8D3CD7900B652659EDB02073883FB002513B9E3</a>
         
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Geändert von john.doe (04.09.2009 um 00:18 Uhr)

Alt 04.09.2009, 14:56   #12
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Guten Mittag

Vielen Dank nochmal für deine Hilfe gestern! Ich hab also gestern sofort das Lan-Kabel abgesteckt, nachdem ich deinen Post gelesen hab. Danach hab ich einen Komplettscan drüberlaufen lassen (Stick blieb angesteckt, hab ich auch zum Durchscannen aktiviert, Autorun.inf hab ich gelöscht). Die Ergebnisse hab ich dann in die Quarantäne verschieben lassen und sofort daraus gelöscht.

Folge: Der Stick lässt sich wieder normal öffnen, doch die Winlog.exe ist auf dem Stick noch vorhanden... Was bedeutet das jetzt für mich? Wie werd ich denn die los?

Übrigens hab ich jetzt herausgefunden, woher dieser ominöse Trojaner kommt. Nach einem Gespräch mit meiner Mutter kam heraus, dass sie ihren USB-Stick auf einem vielbenutzen PC aus ihrem ECDL-Kurs angesteckt hatte und als sie ihn dort öffnen wollte, kam auch diese Fehlermeldung. Besagten Stick hab ich dann gestern bei mir zu öffnen versucht, was mir diesen Trojaner eingebrockt hat, und da ich testweise meinen eigenen Stick auch angesteckt hatte und öffnen wollte, kam die Winlog.exe auch da drauf. Meine Mutter wusste natürlich nicht, worum es sich handelt und hat ihren Stick auch auf ihrem Laptop zu öffnen versucht. Resultat - beide Sticks und beide Laptops infiziert.

Im moment sind noch beide vom Internet gerennt, ich hab wie gesagt beide mit Malwarebytes überprüfen lassen und die infizierten Daten gelöscht.

Muss ich jetzt an den Laptops noch weitere Schritte ergreifen, oder sind sie jetzt "geheilt"? Werden die Sticks noch Probleme machen, wenn ich die Winlog.exe nicht entferne? Oder besser, wie entferne ich diese?

Liebe Grüße und vielen Dank für deine geduldige Hilfe, freakout

Alt 04.09.2009, 15:39   #13
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Zitat:
Die Ergebnisse hab ich dann in die Quarantäne verschieben lassen und sofort daraus gelöscht.
Poste bitte das Log.
Zitat:
Folge: Der Stick lässt sich wieder normal öffnen, doch die Winlog.exe ist auf dem Stick noch vorhanden... Was bedeutet das jetzt für mich?
Das ist ein Problem von Malwarebytes, der benutzt zum Löschen den Avenger, der zwar fast alles gelöscht bekommt, aber eben nicht externe Datenträger, die einen Treiber benötigen. Der wird nämlich erst nach dem Start von Avenger geladen. Du kannst die Datei einfach löschen. Leere danach den Papierkorb. Alternativ kannst du einen der Antivirenscanner einsetzen, die den erkennen.

Das ist aber gar nicht das Problem. Ich weiß jetzt nicht, ob du den Link durchgelesen hast. Mit einem Remote Administration Tool hatte jemand Vollzugriff auf deinen/eure Rechner. Das Miese an der Situation ist jetzt, man weiß nicht wer und ob er die Möglichkeit überhaupt genutzt hat. Eigentlich gilt in diesem Fall => http://www.trojaner-board.de/75622-d...ittierung.html

Mit dem Löschen des Programmes kann der Fall erledigt sein. Es kann aber auch sein, dass er einen zweiten RAT installiert hat, der nicht zu erkennen ist. Jetzt kommt es darauf an, was du mit dem Rechner machst (Onlinebanking?) und ob du mit der Unsicherheit leben kannst, dass der Rechner möglicherweise kompromittiert ist. Ich kann versuchen den Rechner zu säubern, aber eine Garantie kann ich dir nicht geben. Die Säuberung wird länger dauern als eine Neuinstallation, das ist jetzt deine Entscheidung.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 04.09.2009, 16:01   #14
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Ohweia... sieht aber gar nicht gut aus...

Wo hoch ist denn das Risiko, dass in so kurzer Zeit so ein Übergriff schon stattgefunden hat bzw ein zweiter RAT installiert wurde?

Jetzt noch ein Image zu erstellen, falls ich mich für die Neuinstallation entscheide, wäre nicht ratsam, oder?

Hier das Log:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2737
Windows 5.1.2600 Service Pack 2

04.09.2009 02:26:16
mbam-log-2009-09-04 (02-26-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|H:\|)
Durchsuchte Objekte: 129892
Laufzeit: 1 hour(s), 34 minute(s), 22 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.


EDIT: die winlog.exe vom Stick ließ sich problemlos entfernen, danke.

Alt 04.09.2009, 16:22   #15
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Zitat:
Wo hoch ist denn das Risiko, dass in so kurzer Zeit so ein Übergriff schon stattgefunden hat bzw ein zweiter RAT installiert wurde?
Da der Befall kurze Zeit zurückliegt, lässt sich ziemlich sicher bereinigen, aber du musst eben die Möglichkeiten kennen, die ein RAT ermöglicht um die Gefahr einschätzen zu können. Eine Einschätzung kann ich nicht abgeben. Das ist ja genau das Miese an der Situation. Es kann gar nichts passiert sein. Es kann ein Möchtegern-Botmaster gewesen sein. Es kann ein Krimineller mit entsprechender Fachkenntnis gewesen sein.
Zitat:
Jetzt noch ein Image zu erstellen, falls ich mich für die Neuinstallation entscheide, wäre nicht ratsam, oder?
Nein, das wäre völlig falsch. Ein Image erstellt man direkt nach der Installation oder nach größeren Updates aber auf keinen Fall nach Befall, außer zur Beweissicherung, falls eine Straftat vorliegt.
Zitat:
Nach einem Gespräch mit meiner Mutter kam heraus, dass sie ihren USB-Stick auf einem vielbenutzen PC aus ihrem ECDL-Kurs angesteckt hatte und als sie ihn dort öffnen wollte, kam auch diese Fehlermeldung.
Das spricht eher für Möchtegern-Botmaster. Es gibt aber auch Fälle, bei denen Personen gezielt angegangen werden, siehe => http://www.trojaner-board.de/76895-p...r-stalker.html.

Zwei Dinge, die wir auf jeden Fall tun sollten.

1.) Externe Datenträger schützen um erneuten Befall zu vermeiden. Lade dir den Anhang auf deinen Desktop und kopiere ihn in das Hauptverzeichnis deines USB-Sticks (G:\). Starte ihn danach dort mit Doppelklick. Damit wird ein Ordner angelegt, der erneuten Befall verhindert.

2.) Abschalten der Autoplayfunktion von Windows.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
Angehängte Dateien
Dateityp: bat Schutz.bat (117 Bytes, 229x aufgerufen)
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu winlog.exe ist Backdoor.Agobot.LF?
aufsetzen, auswertung, dll, einstellungen, fehlermeldung, frage, google, hijack, hijackthis, laptop, logfile, microsoft, namen, nicht vorhanden, problem, prozess, registry, scan, schnelle hilfe, spybot, system, temp, usb-stick, verbindung, virenscanner, win xp, öffnen




Ähnliche Themen: winlog.exe ist Backdoor.Agobot.LF?


  1. TR/ATRAPS.Gen bzw. Agobot-Infekt?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (36)
  2. Agobot-ku worm
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (14)
  3. Agobot-ku worm
    Plagegeister aller Art und deren Bekämpfung - 17.10.2009 (4)
  4. W32/Rbot-ZZ, Backdoor.IRC.Aladinz.L und W32/Agobot-LF?
    Log-Analyse und Auswertung - 25.09.2007 (9)
  5. Agobot ku steht im Autostart
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (10)
  6. Agobot eingefangen
    Log-Analyse und Auswertung - 12.08.2006 (12)
  7. W32/Agobot-BM
    Log-Analyse und Auswertung - 02.09.2005 (16)
  8. agobot 525097 hilfe bitte
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (7)
  9. Backdoor.Win32.Agobot.aal
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (1)
  10. Backdoor.Win32.Agobot.aal
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (2)
  11. Backdoor.Agobot.ID?
    Log-Analyse und Auswertung - 16.01.2005 (8)
  12. Worm Agobot
    Log-Analyse und Auswertung - 19.12.2004 (1)
  13. Wurm/Agobot.136218
    Antiviren-, Firewall- und andere Schutzprogramme - 30.11.2004 (1)
  14. Hilfe bei Agobot 136218
    Log-Analyse und Auswertung - 07.11.2004 (2)
  15. Hilfe backdoor.agobot.vt brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2004 (1)
  16. hilfe....agobot
    Plagegeister aller Art und deren Bekämpfung - 27.07.2004 (1)
  17. Agobot / Gaobot - wer kann helfen???
    Plagegeister aller Art und deren Bekämpfung - 13.11.2003 (3)

Zum Thema winlog.exe ist Backdoor.Agobot.LF? - Hallo liebe Helfer. Ich bin mir zwar nicht zu hunderprozent sicher, ob es sich hier um einen Trojaner/Viren/Wurmbefall handelt, hab aber eine Vermutung. Als ich heute einen USB-Stick an meinen - winlog.exe ist Backdoor.Agobot.LF?...
Archiv
Du betrachtest: winlog.exe ist Backdoor.Agobot.LF? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.