Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Agent.BI.80 in System Volume Information versteckt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.12.2005, 11:27   #1
forti
 
Agent.BI.80 in System Volume Information versteckt - Standard

Agent.BI.80 in System Volume Information versteckt



Hallo liebe Experten,

ich habe eigentlich gedacht, dass ich alle Trojaner gelöscht habe, aber nun scheint sich einer doch noch in der "System Volume Information" versteckt zu haben.......sein Name: Agent.BI.80!

Das logfile von HJT sieht wie folgt aus:
wie kann ich den Schurken besiegen?

Logfile of HijackThis v1.99.1
Scan saved at 12:25:34, on 20.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\system32\cidaemon.exe
E:\Anti Spyware&Trojaner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.liwest.at/******/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://us-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe


Vielen Dank für eure Hilfe!
lg
forti

Alt 20.12.2005, 11:58   #2
stupormundi
 
Agent.BI.80 in System Volume Information versteckt - Standard

Agent.BI.80 in System Volume Information versteckt



Servus!
Ich hoffe ich interpretiere Dich richtig: Liegt der Bösling nicht in einem "restore"-Folder? Wenn ja, einfach mal die Systemwiederherstellung abschalten, neu booten und wieder einschalten!
In Deinem Log kann ich auf die Schnelle nichts Auffälliges mehr entdecken!
stupormundi
__________________

__________________

Alt 20.12.2005, 12:15   #3
forti
 
Agent.BI.80 in System Volume Information versteckt - Standard

Agent.BI.80 in System Volume Information versteckt



hallo stupormundi!

danke für den tip, du hast recht, das ist ein restore folder!
nur..........hab ich den trojaner durch das ein- und ausschalten auch schon gelöscht?
antivir gibt mir die meldung, dass die datei
c:\system volume information\_restore {22153F70E1DD.....}RP1\A000000065.exe dieser komische trojaner namens Agent.BI.80 ist!

Vielen Dank!
lg
forti
__________________

Alt 20.12.2005, 12:17   #4
stupormundi
 
Agent.BI.80 in System Volume Information versteckt - Standard

Agent.BI.80 in System Volume Information versteckt



Servus nochmal!
Wenn Du wie beschrieben die Systemwiederherstellung deaktiviert hast und anschließend Deinen PC neu gestartet hast, hast Du damit auch alle Systemwiederherstellungspunkte gelöscht (sollte eigentlich eine Abfrage dazu kommen). Damit ist auch dieser Bösewicht eliminiert!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 20.12.2005, 12:48   #5
forti
 
Agent.BI.80 in System Volume Information versteckt - Standard

Agent.BI.80 in System Volume Information versteckt



hallo!
abfrage ist zwar keine gekommen, aber ich hab die systemwiederherstellung deaktiviert, neu gebootet und sie wieder aktiviert.
mal sehen, ob bald wieder eine meldung von antivir kommt oder ob ich den agenten somit eliminiert habe.

vielen dank nochmal!
ich hoffe, ich meld mich sobald nicht wieder!

lg
forti


Antwort

Themen zu Agent.BI.80 in System Volume Information versteckt
adobe, adobe reader, antispyware, antivir, askbar, avg, cyberlink, dll, drivers, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, programme, rundll, security, security center, software, symantec, system, trojaner, windows, windows xp



Ähnliche Themen: Agent.BI.80 in System Volume Information versteckt


  1. Trojan.Agent/Gen-Kazy[Ico] in C:\SYSTEM VOLUME INFORMATION\_RESTORE{6037B4AE-60D5-4ABD-B660-DFA1EAAD6D52}\RP441\A0130476.EXE gefunden
    Log-Analyse und Auswertung - 14.10.2012 (28)
  2. Spyware.Agent in System Volume Information in der Datei A0032786.rbf
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (1)
  3. TR/Agent.ruo in system 32 und System Volume Information gefunden
    Plagegeister aller Art und deren Bekämpfung - 06.04.2010 (11)
  4. system volume information
    Plagegeister aller Art und deren Bekämpfung - 13.06.2009 (6)
  5. Virus in System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 08.03.2009 (41)
  6. Problem mit F:/System Volume Information
    Log-Analyse und Auswertung - 08.09.2008 (4)
  7. System Volume Information
    Alles rund um Windows - 14.02.2008 (32)
  8. TR/Agent.804352 in System Volume Information!?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2008 (3)
  9. System Volume Information
    Log-Analyse und Auswertung - 25.07.2007 (1)
  10. System Volume Information
    Alles rund um Windows - 14.07.2007 (1)
  11. system volume information
    Plagegeister aller Art und deren Bekämpfung - 11.08.2006 (3)
  12. System Volume Information
    Alles rund um Windows - 03.06.2006 (1)
  13. System Volume Information
    Alles rund um Windows - 09.01.2006 (11)
  14. Virus in C:\System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 18.07.2005 (1)
  15. System volume information
    Alles rund um Windows - 13.02.2005 (1)
  16. System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (4)
  17. System Volume Information??
    Plagegeister aller Art und deren Bekämpfung - 21.11.2004 (2)

Zum Thema Agent.BI.80 in System Volume Information versteckt - Hallo liebe Experten, ich habe eigentlich gedacht, dass ich alle Trojaner gelöscht habe, aber nun scheint sich einer doch noch in der "System Volume Information" versteckt zu haben.......sein Name: Agent.BI.80! - Agent.BI.80 in System Volume Information versteckt...
Archiv
Du betrachtest: Agent.BI.80 in System Volume Information versteckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.