Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Spy.Agent.FX.1

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.05.2006, 19:00   #1
Nudnickat
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



Guten Abend!
In den letzten Tagen habe ich mich mit einem Trojaner namens "TR/Spy.Agent.FX.1" herumgeschlagen. Dieser wurde von Antivir entdeckt und taucht in unregelmäßigen Abständen im x:/windows/temp Ordner unter der Bezeichnung 2b.tmp auf. Bevor ich Antivir installiert hatte, konnte ich ihn auch unter anderen diversen Namen beobachten. Charakteristisch war aber immer die Endung .tmp der eine Zahl mit einem Buchstaben vorangestellt war. Bis gestern habe ich nur den in ZoneAlarm integrierten Virenscanner eingesetzt, der das Problem aber noch schlechter in den Griff bekommen hat, als Antivir. Über scannen der Datei bei h**p://virusscan.jotti.org/de bin ich auf AntiVir gekommen, da dort der Trojaner erkannt wurde. Gescannt wurde mit AntiVir bei den höchsten Scaneinstellungen.
Leider taucht der Schädling trotz mehrfachen Scans immer wieder auf. Scannen im abgesicherten Modus ist nicht möglich, da die Isass.exe die Fehlermeldung:"Das Endpunktfomrat ist unzulässig" produziert. Mit meinem Latein bin ich nun am Ende und bitte euch um Rat. Hier mein Log-File und mein Dank im vorraus fürs Lesen!

Logfile of HijackThis v1.99.1
Scan saved at 19:52:57, on 14.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\CTHELPER.EXE
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
e:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
E:\WINDOWS\system32\ZoneLabs\isafe.exe
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\WinRAR\WinRAR.exe
E:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h***://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.tagesschau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.****.de:81;http=proxy.***.de:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = logserv.***.de;localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - E:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\ACROBAT\ACROIEFAVCLIENT.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [gcasServ] "E:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ2003\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ2003\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - h***://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h***://www.***.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h***://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122544582435
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h***://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123587016873
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h***://asp07.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h***://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B2AE62-BE3B-49F2-B8C2-346BBC278475}: NameServer = 134.106.121.2,134.106.121.31
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - E:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - e:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - e:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: yrmIW - Unknown owner - E:\Programme\Dme.exe

Alt 14.05.2006, 19:25   #2
Nudnickat
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



Die dme.exe aus der letzten Zeile scheint mir suspekt und ich habe sie rausgekickt. Im Programmeordner waren noch ein paar Kandidaten versammelt, die jetzt erstmal im Papierkorb bleiben. Die dme.exe lässt sich aber nicht löschen, vielleicht nach einem Neustart?! Online konnte ich sie nicht scannen lassen, da ein Hochladen nicht möglich war. Meine Virenscanner konnten nichts erkennen (ZoneAlarm) oder die Datei nicht öffnen (Antivir).
Falls es jemanden bei der Analyse meines Problems hilft, poste ich die Ergebnisse sämtlicher von mir durchgeführter, positiver Scans mittels AntiVir:

1.Scan:
E:\WINDOWS\system32\tmp.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Star.RN.3.A
[INFO] Die Datei wurde gelöscht.
E:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd1677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

2.Scan:
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\qwertzun.exe
[FUND] Enthält Signatur des SPR/Perflogger.AN-Programmes
[INFO] Die Datei wurde gelöscht.
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\OLK14\Desktop.zip
[0] Archivtyp: ZIP
--> i_bpk2003.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Program Files\BPK\qwertz.exe
[FUND] Enthält Signatur des SPR/Perflogger.AD.24-Programmes
[INFO] Die Datei wurde gelöscht.
E:\Program Files\BPK\qwertzhk.dll
[FUND] Enthält Signatur des SPR/Perflogger.AL.2-Programmes
[INFO] Die Datei wurde gelöscht.
E:\Program Files\BPK\qwertzwb.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Perfloger.I.1
[INFO] Die Datei wurde gelöscht.
E:\Programme\bCXLPBBxn.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\rMAm.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\SHVxzOqg.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\Ug.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\vQTsfU.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\cpu.exe
[FUND] Enthält Signatur des Droppers DR/Agent.HD
[INFO] Die Datei wurde gelöscht.
E:\WINDOWS\SoftwareDistribution\EventCache\{35F36DE7-ADE5-45BE-A04B-5E7EF799ADAC}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd1677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\Temp\ZLT01612.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!

3.Scan:
C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\E\WIN98\aconti.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Trojan.Downloader
[INFO] Die Datei wurde gelöscht.
C:\E\WIN98\SYSTEM\Comclg16.dll
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
C:\E\WIN98\SYSTEM\winadmkill.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/VB.PwdStealer
[INFO] Die Datei wurde gelöscht.
C:\E\WIN98\SYSTEM\winadm.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032436.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Trojan.Downloader
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032437.dll
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032438.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/VB.PwdStealer
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{91136170-DA1D-4D5A-A444-7031ADBC60B3}\RP171\A0032439.exe
[FUND] Enthält verdächtigen Code: HEURISTIC/Backdoor.VB6
[INFO] Die Datei wurde gelöscht.
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\OLK14\Desktop.zip
[0] Archivtyp: ZIP
--> i_bpk2003.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\bCXLPBBxn.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\iwRnDX.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\rMAm.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\SHVxzOqg.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Programme\Ug.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\sam
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\security
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\system32\drivers\sptd1677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\WINDOWS\Temp\ZLT076f3.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\CDR_3.MVB
[WARNUNG] Die Datei konnte nicht gelesen werden!

4.Scan:
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst
[WARNUNG] Die Datei konnte nicht gelesen werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~DF5328.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\~DFF7FF.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
E:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temporary Internet Files\OLK14\Desktop.zip
[0] Archivtyp: ZIP
--> i_bpk2003.exe
[FUND] Enthält Signatur des Droppers DR/Perflogger.AD
[1] Archivtyp: RAR SFX (self extracting)
--> bpk.exe
[FUND] Enthält Signatur des SPR/Perflogger.AD.24-Programmes
--> bpkun.exe
[FUND] Enthält Signatur des SPR/Perflogger.AN-Programmes
--> bpkvw.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Perfect.K
--> Setup.exe
[FUND] Enthält Signatur des SPR/Perflogger.AE-Programmes
--> bpkhk.dll
[FUND] Enthält Signatur des SPR/Perflogger.AL.2-Programmes
--> bpki.dll
[FUND] Ist das Trojanische Pferd TR/Peflog.30.3
--> bpkwb.dll
[FUND] Ist das Trojanische Pferd TR/Spy.Perfloger.I.1
--> bpkr.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Perfect.3
--> inst.bin
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.Y.12
[INFO] Die Datei wurde gelöscht.

Soweit ich mich erinnere, lag zwischen jedem erneuten Scan ein Neustart des Win XP Pro Systems
__________________


Geändert von Nudnickat (14.05.2006 um 19:39 Uhr)

Alt 15.05.2006, 13:03   #3
Nudnickat
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



Es würde mich sehr freuen und weiterhelfen, wenn jemand einen Kommentar zu meinem Thema schreibt. Danke!
__________________

Alt 15.05.2006, 14:11   #4
Rene-gad
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



@Nudnickat
Es tut mir leid, dass Keiner Deinen musterhaften Posting bis dato bemerkt hat.
Es gibt/gab viel Ungutes am PC. Bereinige bitte Deinen Rechner: Start\Ausführen...\cleanmgr eingeben, Ende-Taste dücken. Alles Mögliche am Laufwerk C:\ auswählen. Danach Systemwiederherstellung abschalten. Danach eScan-Thema (s. dazu Link in meiner Signatur) abarbeiten. Mit der Datei Find.bat erstellten Log hier posten.

Alt 15.05.2006, 15:19   #5
Nudnickat
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



Der PC ist bereinigt. Liege ich mit meiner Annahme richtig, wenn ich das Laufwerk e:/ und nicht c:/ gereinigt habe, da e:/ mein Win beherbergt? Des Weiteren habe ich mir das Microworld Antivirus Tool runtergeladen und bin deinen Anweisungen gefolgt. Leider geht bei mir der Abgesicherte Modus nicht (s.o.). Soll ich den Scan trotzde wagen? Danke dir für die Hilfe!


Alt 15.05.2006, 16:03   #6
Rene-gad
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



@Nudnickat
Zitat:
Liege ich mit meiner Annahme richtig, wenn ich das Laufwerk e:/ und nicht c:/ gereinigt habe, da e:/ mein Win beherbergt?
Korrekt.
Zitat:
Des Weiteren habe ich mir das Microworld Antivirus Tool runtergeladen und bin deinen Anweisungen gefolgt.
Davon halte ich eher wenig .
Zitat:
Leider geht bei mir der Abgesicherte Modus nicht (s.o.). Soll ich den Scan trotzde wagen?
Lieber nicht. Stelle AVPE-Echtzeitschutz ab und folge mit Deinem IE diesem Link: http://www.kaspersky.com/de/virusscanner und wähle Online-Scanner.
PS: Wenn Du wenig Zeit hast, sichere Deine wichtigen Daten (Du hast doch mehrere Partitionen am Rechner und findest bestimmt noch Platz dazu) und formatiere die System-Platte nach Anleitung in meiner Signatur. Es wird schneller gehen und bringt sicherere Ergebnisse, als alle Bereinigungsversuche. Um das bei einem Virenbefall nicht zu tun braucht man sehr starke Gründe..
EDIT: Noch dazu: http://www.heisig-it.de/forum/viewto...4e61bddcc74e8e

Alt 15.05.2006, 16:11   #7
Nudnickat
 
TR/Spy.Agent.FX.1 - Standard

TR/Spy.Agent.FX.1



Ich versuchs jetzt mal mit dem Online-Scaner. In der Zwischenzeit habe ich allerdings mal via Microworld gescannt und bin auch gleich fündig geworden:

Object "flashfxp Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "flashfxp Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "cws.loadadv.400 Browser Hijacker" found in File System! Action Taken: No Action Taken.
Object "thelocalsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "thelocalsearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Scheint ja ein richtiges Jahrgangstreffen zu sein. Über die Idee mit dem Formatieren denke ich mal nach, auch wenn ich mich damit noch nicht so Recht anfreunden kann.

Antwort

Themen zu TR/Spy.Agent.FX.1
abgesicherten modus, adobe, antivir, avg, avira, bho, computer, desktop, excel, fehlermeldung, ftp, hijack, hijackthis, icqtoolbar, immer wieder, internet, internet explorer, internet security, isass.exe, monitor, nicht möglich, object, problem, scan, schädling, security, security center, settings manager, software, symantec, system, trojaner, urlsearchhook, windows xp



Ähnliche Themen: TR/Spy.Agent.FX.1


  1. Avira Funde: TR/Spy.Agent.1246416 und TR/Spy.Agent.1793892
    Plagegeister aller Art und deren Bekämpfung - 09.10.2015 (17)
  2. Sefnit-HU, Agent-ASEB, Agent-ARQX von Avast gefunden...
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (23)
  3. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  4. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  5. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  6. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  7. pc friert ein- malware (TR/Spy.Zbot, TR/Agent.282624.k , BDS.Hupigon, JS/Agent.30510, )
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (3)
  8. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  9. offenes system? TR/Agent.bfpp HTML/Ydergda.B TR/Riner.ZK TR/Riern.H.7 JAVA/Agent.BH
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  10. RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (25)
  11. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  12. Verseuchter Rechner mit TR/Click.Agent.AC, TR/Dlder.Mediket.A, ADSPY/Agent.L usw.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (23)
  13. Trojanerr Epidemie- Agent.AN260, 261, 262, Agent.dyur, Bubnix.S
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (25)
  14. TR/Agent.RUO.3 in der Datei 'C:\Windows\System32\wineon.dll' und DR/Agent.ruo ...
    Plagegeister aller Art und deren Bekämpfung - 13.04.2010 (6)
  15. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  16. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  17. 3 Trojaner: Agent NBU / Agent.BI und WinShow.NAL - kriegs nicht gelöscht :(
    Log-Analyse und Auswertung - 20.03.2005 (1)

Zum Thema TR/Spy.Agent.FX.1 - Guten Abend! In den letzten Tagen habe ich mich mit einem Trojaner namens "TR/Spy.Agent.FX.1" herumgeschlagen. Dieser wurde von Antivir entdeckt und taucht in unregelmäßigen Abständen im x:/windows/temp Ordner unter der - TR/Spy.Agent.FX.1...
Archiv
Du betrachtest: TR/Spy.Agent.FX.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.