Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojan-clicker.JS.agent.d nach Firefox-Update?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.02.2006, 12:35   #1
Haenschenklein
 
trojan-clicker.JS.agent.d nach Firefox-Update? - Standard

trojan-clicker.JS.agent.d nach Firefox-Update?



Liebes Forum,

habe mir offenbar einen trojan-clicker.JS.agent.d eingefangen; das äussert sich so, dass der Mauszeiger quasi zufällig bevorzugt nach rechts unten verschwindet oder quasi-epileptisch über den Bildschirm zuckelt.

Ich arbeite auf einem Multiboot-System; witzigerweise hat die XP-Partition, die ich eigentlich immer besonders pfleglich behandele (also mein Office-System), zuerst angefangen, rumzumucken. Zuerst dachte ich an einen Mauskabeldefekt. Als dann aber mein anderes XP (mit dem ich mich auch gelegentlich in eher nicht so sichere Gefilde des www begebe, mein Test-System) auch damit anfing, fiel mir auf, dass ich in beiden Fällen kurz vor Beginn der Störung das automatische Firefox-Update auf 1.5.0.dings installiert hatte. Mein Virenschutz/Firewall-Programm ist F-Secure; nach dem Firefox-Update fragt es jetzt beim Start von Firefox JEDES Mal, ob das Programm Zugang zum Internet bekommen soll, weil es sich seit dem letzten Mal verändert habe - und das obwohl ich diese Frage für Firefox eigentlich abgeschaltet hatte. Ein Scan des Office-Systems mit F-Secure ergab dann auch die Meldung dass sich besagter Trojaner auf dem System befände; das Löschen mit F-Secure funktionierte nicht, stattdessen wurde es einfach umbenannt. Ich finde die Datei nicht (und da dieses $§&§$@!-F-Secure so unglaublich Benutzerunfreundlich ist, was das nachträgliche Sichten von Scan-Ergebnissen ist, kann ich auch kaum sagen, wo sie sich befunden haben soll).

Mein Hijack-Log ist lt. http://www.hijackthis.de/index.php#anl ok; was soll ich tun? Es hier nochmal posten? Freue mich über Hilfe!

Alt 04.02.2006, 12:38   #2
BataAlexander
> MalwareDB
 
trojan-clicker.JS.agent.d nach Firefox-Update? - Standard

trojan-clicker.JS.agent.d nach Firefox-Update?



Hallo,

poste uns das Log, die automatische Auswertung ist allein nicht aussagekräftig.

Gruß

Schrulli
__________________

__________________

Alt 04.02.2006, 14:45   #3
Haenschenklein
 
trojan-clicker.JS.agent.d nach Firefox-Update? - Standard

trojan-clicker.JS.agent.d nach Firefox-Update?



Hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 12:21:15, on 04.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\hdsp32.exe
C:\WINDOWS\system32\hdspmix.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus\backweb\154149\Program\fspex.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\F-Secure Anti-Virus\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus\FSPC\fspc.exe
C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\FELIXA~1\LOKALE~1\Temp\Rar$EX00.483\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\notepad.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [HDSPTray1] hdsp32.exe
O4 - HKLM\..\Run: [HDSPTray2] hdspmix.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Anti-Virus\FSPC\fspcmsie.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{933B30FD-8FC5-4D33-978F-2F90B31CDBEE}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Anti-Virus 2005 - WEB.DE Edition (BackWeb Plug-in - 154149) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\154149\Program\SERVIC~1.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
__________________

Alt 04.02.2006, 20:19   #4
Haenschenklein
 
trojan-clicker.JS.agent.d nach Firefox-Update? - Standard

trojan-clicker.JS.agent.d nach Firefox-Update?



Ausserdem habe ich mal einen Scan mit Escan 8.1.8 gemacht (das sich allerdings nicht wie in Deiner Anleitung beschrieben installieren liess, wodurch es mir nicht möglich war, Updates zu laden [wg. abgesichertem Modus]). Das Ergebnis ist dieses:


[...]

Sat Feb 04 16:05:22 2006 => **********************************************************
Sat Feb 04 16:05:22 2006 => MicroWorld Anti Virus & Spyware Toolkit Utility.
Sat Feb 04 16:05:22 2006 => Copyright © 2003-2006, MicroWorld Technologies Inc.
Sat Feb 04 16:05:22 2006 =>
Sat Feb 04 16:05:22 2006 => Support: support@mwti.net
Sat Feb 04 16:05:22 2006 => Web: http://www.mwti.net
Sat Feb 04 16:05:22 2006 => **********************************************************
Sat Feb 04 16:05:22 2006 => Version 8.1.8 (C:\DOKUME~1\XXXXX~1\LOKALE~1\Temp\mexe.com)
Sat Feb 04 16:05:22 2006 => Log File: C:\DOKUME~1\XXXXX~1\LOKALE~1\Temp\MWAV.LOG
Sat Feb 04 16:05:22 2006 => User Account: XXXXXXXXXXX
Sat Feb 04 16:05:22 2006 => Windows Root Folder: C:\WINDOWS
Sat Feb 04 16:05:22 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Sat Feb 04 16:05:22 2006 => OS: Windows XP
Sat Feb 04 16:05:22 2006 => Latest Date of files inside MWAV: 03 Feb 2006 13:55:46.

Sat Feb 04 16:05:22 2006 => Options Selected by User:
Sat Feb 04 16:05:22 2006 => Memory Check: Enabled
Sat Feb 04 16:05:22 2006 => Registry Check: Enabled
Sat Feb 04 16:05:22 2006 => StartUp Folder Check: Disabled
Sat Feb 04 16:05:22 2006 => System Folder Check: Disabled
Sat Feb 04 16:05:22 2006 => System Area Check: Disabled
Sat Feb 04 16:05:22 2006 => Services Check: Enabled
Sat Feb 04 16:05:22 2006 => Drive Check: Disabled
Sat Feb 04 16:05:22 2006 => All Drive Check :Enabled
Sat Feb 04 16:05:22 2006 => Folder Check: Disabled

[...]

Sat Feb 04 16:06:11 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Feb 04 16:06:11 2006 => Loading Spyware Signatures from new External Database (Size: 152313).
Sat Feb 04 16:06:13 2006 => Indexed Spyware Databases Successfully Created...

Sat Feb 04 16:06:25 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.

[...]

C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.

[...]

Sat Feb 04 16:30:38 2006 => File C:\Dokumente und Einstellungen\XXXXXXXXX\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\180klc7h.default\Cache\9D2D6A58D01.0 infected by "Trojan-Clicker.JS.Agent.d" Virus! Action Taken: No Action Taken.

[...]

Sat Feb 04 17:08:29 2006 => File D:\Downloads\Programme\AVTools\Videotools\DIVX\DivXPlayerInstaller.exe tagged as not-a-virus: Downloader.Win32.Nsis.a. No Action Taken.

[...]

Sat Feb 04 17:18:52 2006 => File D:\Downloads\Programme\PCSystemTools&Konfig\xp_key.rar tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.

{Bemerkung: Das System besteht ausschliesslich aus legaler Software. Ich habe allerdings vor einiger Zeit XP "evaluiert", bevor ich es gekauft habe - daher noch diese Datei}

{Bemerkung: Bei den folgenden Dateien handelt es sich um Backups; nur der Vollständigkeit halber}

[...]

Sat Feb 04 18:58:40 2006 => File E:\BackupD\Downloads\Programme\PCSystemTools&Konfig\xp_key.rar tagged as not-a-virus:PSWTool.Win32.RAS.a. No Action Taken.

[...]

Sat Feb 04 19:09:30 2006 => File E:\BackupD\Downloads\Programme\AVTools\Videotools\DIVX\DivXPlayerInstaller.exe tagged as not-a-virus: Downloader.Win32.Nsis.a. No Action Taken.




Ein Scan mit Pandasoft hat ca. 53 Malware-Dateien ergeben, darunter allerdings eine Menge Cookies, die allerdings von vertrauenswürdigen Sites stammen.

Da ich dieses Multiboot-System vor zwei Wochen komplett auf neu auf einer jungfräulichen Festplatte erstellt habe, und keine Sekunde lang ohne F-Secure gelaufen bin, frage ich mich, was ich eigentlich falsch gemacht habe. Und weiterhin frage ich mich, ob ich jetzt jede der vier Systempartitionen jeweils 3,5 Std lang von Escan durchsuchen lassen muss - und dann ist ja noch nicht eine befallene Datei gefixt. Da lohnt es sich ja beinahe mehr, einfach nochmal alles von vorne zu beginnen...

Hat jemand Vorschläge?!

Antwort

Themen zu trojan-clicker.JS.agent.d nach Firefox-Update?
anderes, automatische, bildschirm, datei, einfach, eingefangen, f-secure, forum, frage, freundlich, hilfe!, installiert, internet, löschen, meldung, posten, rechts, scan, sichere, start, störung, trojaner, verändert, zufällig, zugang



Ähnliche Themen: trojan-clicker.JS.agent.d nach Firefox-Update?


  1. Firefox/Win7 – übermäßige Werbung (Pseudo-Links und WerbeFenster) nach Firefox-Update
    Log-Analyse und Auswertung - 12.12.2013 (9)
  2. Windows 7: trojan staser und trojan clicker
    Log-Analyse und Auswertung - 25.08.2013 (11)
  3. Nach WIN und Firefox Update ruckeln im Firefox und verschwundene Emails
    Log-Analyse und Auswertung - 08.01.2013 (28)
  4. Trojan-Clicker.Win32.NSiS!E1 in KIES Verzeichnis bei update
    Plagegeister aller Art und deren Bekämpfung - 01.09.2012 (0)
  5. Windows Update Trojaner/Trojan.Agent.H/Trojan.Phex.THAGen4
    Log-Analyse und Auswertung - 19.08.2012 (12)
  6. Fehlermeldung nach Firefox-Update
    Alles rund um Windows - 10.09.2008 (7)
  7. Trojaner Clicker HTML.Agent.u
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (0)
  8. Trojan-Clicker.Win32.Agent.jh WAS TUN???
    Plagegeister aller Art und deren Bekämpfung - 29.04.2007 (9)
  9. Trojan.Clicker.Agent.JH?!
    Plagegeister aller Art und deren Bekämpfung - 23.04.2007 (11)
  10. trojanisches Programm Trojan-Clicker.HTML.Agent.a
    Plagegeister aller Art und deren Bekämpfung - 05.11.2006 (14)
  11. Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun???
    Plagegeister aller Art und deren Bekämpfung - 17.10.2006 (5)
  12. trojan.clicker ...was nun?
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (1)
  13. Trojan-Clicker.Win32.Agent.cr
    Log-Analyse und Auswertung - 01.05.2005 (2)
  14. Trojan-Clicker.Win32.Agent.ac
    Plagegeister aller Art und deren Bekämpfung - 21.03.2005 (7)
  15. TR/Clicker.Agent.N.1.
    Plagegeister aller Art und deren Bekämpfung - 08.03.2005 (23)
  16. Trojan-Clicker.Win32.Agent.ac / Bachdoor.Win32.PoeBot.a etc
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
  17. PC fährt ständig runter, folgendes gefunden: Trojan.Clicker.Agent.N
    Plagegeister aller Art und deren Bekämpfung - 19.10.2004 (15)

Zum Thema trojan-clicker.JS.agent.d nach Firefox-Update? - Liebes Forum, habe mir offenbar einen trojan-clicker.JS.agent.d eingefangen; das äussert sich so, dass der Mauszeiger quasi zufällig bevorzugt nach rechts unten verschwindet oder quasi-epileptisch über den Bildschirm zuckelt. Ich arbeite - trojan-clicker.JS.agent.d nach Firefox-Update?...
Archiv
Du betrachtest: trojan-clicker.JS.agent.d nach Firefox-Update? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.