| |
| |||||||
Log-Analyse und Auswertung: Agent.BI.80 in System Volume Information verstecktWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
20.12.2005, 12:27
| #1 |
| |  Agent.BI.80 in System Volume Information versteckt Hallo liebe Experten, ich habe eigentlich gedacht, dass ich alle Trojaner gelöscht habe, aber nun scheint sich einer doch noch in der "System Volume Information" versteckt zu haben.......sein Name: Agent.BI.80! Das logfile von HJT sieht wie folgt aus: wie kann ich den Schurken besiegen? Logfile of HijackThis v1.99.1 Scan saved at 12:25:34, on 20.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spoolsv.exe C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Winamp\winampa.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINNT\System32\DRIVERS\CDANTSRV.EXE C:\WINNT\system32\cisvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\PROGRA~1\Iomega\System32\ActivityDisk.exe C:\WINNT\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINNT\system32\cidaemon.exe E:\Anti Spyware&Trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.liwest.at/******/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe Vielen Dank für eure Hilfe! lg forti |
|
20.12.2005, 12:58
| #2 |
   | Agent.BI.80 in System Volume Information versteckt Servus!
__________________Ich hoffe ich interpretiere Dich richtig: Liegt der Bösling nicht in einem "restore"-Folder? Wenn ja, einfach mal die Systemwiederherstellung abschalten, neu booten und wieder einschalten! In Deinem Log kann ich auf die Schnelle nichts Auffälliges mehr entdecken! stupormundi
__________________ |
|
20.12.2005, 13:15
| #3 |
| | Agent.BI.80 in System Volume Information versteckt hallo stupormundi!
__________________danke für den tip, du hast recht, das ist ein restore folder! nur..........hab ich den trojaner durch das ein- und ausschalten auch schon gelöscht? antivir gibt mir die meldung, dass die datei c:\system volume information\_restore {22153F70E1DD.....}RP1\A000000065.exe dieser komische trojaner namens Agent.BI.80 ist! Vielen Dank! lg forti |
|
20.12.2005, 13:17
| #4 |
| | Agent.BI.80 in System Volume Information versteckt Servus nochmal! Wenn Du wie beschrieben die Systemwiederherstellung deaktiviert hast und anschließend Deinen PC neu gestartet hast, hast Du damit auch alle Systemwiederherstellungspunkte gelöscht (sollte eigentlich eine Abfrage dazu kommen). Damit ist auch dieser Bösewicht eliminiert! stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
20.12.2005, 13:48
| #5 |
| | Agent.BI.80 in System Volume Information versteckt hallo! abfrage ist zwar keine gekommen, aber ich hab die systemwiederherstellung deaktiviert, neu gebootet und sie wieder aktiviert. mal sehen, ob bald wieder eine meldung von antivir kommt oder ob ich den agenten somit eliminiert habe. vielen dank nochmal! ich hoffe, ich meld mich sobald nicht wieder!  lg forti |
|
| Themen zu Agent.BI.80 in System Volume Information versteckt |
| adobe, adobe reader, antispyware, antivir, askbar, avg, cyberlink, dll, drivers, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, programme, rundll, security, security center, software, symantec, system, trojaner, windows, windows xp |
Linear-Darstellung
