| |
| |||||||
Log-Analyse und Auswertung: TR/Agent und Co.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
23.04.2007, 17:50
| #1 |
| |  TR/Agent und Co. Hoi! Hab hier das Problem das mir immer wieder Pop-Ups kommen und das System teilweise extrem lahmt wenn ich z.B. in der RocketDock auf ein Symbol klicke. Das System wurde mittlerweile zweimal formatiert aber scheint hartnäckiger zu sein als erwartet. Benutze WindowsXP Professional mit SP2. Geh nicht ins Netz bevor kein Avira AntiVir installiert ist. Bin für jeden Ratschlag dankbar  Hier bereits einige Ergebnisse von Tests. aktuelles Log von Hijack. Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 18:51:26, on 23.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\CTHELPER.EXE D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe D:\PROGRA~1\eScan\TRAYICOS.EXE D:\PROGRA~1\eScan\TRAYSSER.EXE D:\PROGRA~1\eScan\AVPMWrap.EXE D:\PROGRA~1\eScan\avpm.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE D:\Programme\RocketDock\RocketDock.exe D:\PROGRA~1\eScan\MAILDISP.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE D:\PROGRA~1\eScan\MAILSCAN.EXE C:\WINDOWS\system32\HPZipm12.exe D:\PROGRA~1\ESCAN\SPOOLER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe D:\Programme\Creative\ShareDLL\CADI\NotiMan.exe D:\PROGRA~1\eScan\AvpM.exe D:\PROGRA~1\eScan\vista\ScanningProcess.exe D:\PROGRA~1\eScan\vista\ScanningProcess.exe C:\WINDOWS\System32\svchost.exe D:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Programme\AntiVir PersonalEdition Classic\avscan.exe D:\Programme\Winamp\winamp.exe F:\Tools\Vollversionen\Multimedia Player oder Videobearbeitung\Media Player Classic\mplayerc.exe C:\WINDOWS\system32\divxsm.exe F:\Tools\Vollversionen\Systemtools und Virenscanner\Hijack This\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [RCSystem] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [VolPanel] "D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [MailScan Dispatcher] D:\PROGRA~1\eScan\LAUNCH.EXE O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe" O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - D:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\eScan\avpm.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\
22.04.2007 22:44 43 filelist.txt
22.04.2007 22:34 2.145.386.496 pagefile.sys
22.04.2007 19:55 0 IO.SYS
22.04.2007 19:55 0 MSDOS.SYS
22.04.2007 19:55 0 CONFIG.SYS
22.04.2007 19:55 0 AUTOEXEC.BAT
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\WINDOWS
22.04.2007 22:34 0 0.log
22.04.2007 22:34 2.048 bootstat.dat
22.04.2007 22:33 7.267 WindowsUpdate.log
22.04.2007 22:31 183.808 NDNuninstall7_48.exe
22.04.2007 22:31 1.165 mozver.dat
22.04.2007 22:28 50.688 NDNuninstall6_38.exe
22.04.2007 22:26 888 SchedLgU.Txt
22.04.2007 22:23 477.740 setupapi.log
22.04.2007 21:49 32 wininit.ini
22.04.2007 20:51 50 wiaservc.log
22.04.2007 20:51 509 wiadebug.log
22.04.2007 20:51 0 Sti_Trace.log
22.04.2007 20:48 1.348 regopt.log
22.04.2007 20:48 231 system.ini
22.04.2007 20:25 75.807 DirectX.log
22.04.2007 20:21 68.483 Omega Drivers v3.8.330.log
22.04.2007 20:21 0 nsreg.dat
22.04.2007 20:18 451.072 Radeon Omega Drivers v3.8.330 Uninstall.exe
22.04.2007 20:14 0 AS_Debug.txt
22.04.2007 20:13 64.570 ydi.log
22.04.2007 20:11 25.354 Ascd_log.ini
22.04.2007 20:05 14.516 wmsetup.log
22.04.2007 20:05 316.640 WMSysPr9.prx
22.04.2007 20:03 25.178 Ascd_tmp.ini
22.04.2007 19:59 829 OEWABLog.txt
22.04.2007 19:59 834.838 setuplog.txt
22.04.2007 19:57 8.192 REGLOCS.OLD
22.04.2007 19:56 48.530 iis6.log
22.04.2007 19:56 15.868 comsetup.log
22.04.2007 19:56 4.382 imsins.log
22.04.2007 19:56 1.252 tabletoc.log
22.04.2007 19:56 7.948 ntdtcsetup.log
22.04.2007 19:56 885 ocmsn.log
22.04.2007 19:56 10.187 tsoc.log
22.04.2007 19:56 186.820 setupact.log
22.04.2007 19:56 630 setuperr.log
22.04.2007 19:55 0 control.ini
22.04.2007 19:55 477 win.ini
22.04.2007 19:55 4.161 ODBCINST.INI
22.04.2007 19:54 749 WindowsShell.Manifest
22.04.2007 19:53 1.487 MedCtrOC.log
22.04.2007 19:53 14.732 ocgen.log
22.04.2007 19:53 871 msgsocm.log
22.04.2007 19:53 11.538 FaxSetup.log
22.04.2007 19:53 1.023 sessmgr.setup.log
22.04.2007 19:53 2.790 netfxocm.log
22.04.2007 19:52 36 vb.ini
22.04.2007 19:52 37 vbaddin.ini
22.04.2007 19:52 133 DtcInstall.log
22.04.2007 19:52 10.188 msmqinst.log
22.04.2007 19:51 200 cmsetacl.log
----- System ---
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\WINDOWS\system
07.06.2005 20:58 765.952 CRLDS3D.DLL
04.08.2004 00:58 146.944 WINSPOOL.DRV
04.08.2004 00:37 69.632 MMSYSTEM.DLL
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\WINDOWS\system32
22.04.2007 22:28 8.464 sporder.dll
22.04.2007 22:26 2.040.976 FNTCACHE.DAT
22.04.2007 22:25 64.900 DVCState-{00000001-00000000-00000001-00001102-00000005-00211102}.rfx
22.04.2007 22:25 1.080 settingsbkup.sfm
22.04.2007 22:25 1.080 settings.sfm
22.04.2007 22:25 55.184 BMXStateBkp-{00000001-00000000-00000001-00001102-00000005-00211102}.rfx
22.04.2007 22:25 55.184 BMXState-{00000001-00000000-00000001-00001102-00000005-00211102}.rfx
22.04.2007 20:51 0 h323log.txt
22.04.2007 20:19 413.696 wrap_oal.dll
22.04.2007 20:19 86.016 OpenAL32.dll
22.04.2007 20:16 311.604 perfh009.dat
22.04.2007 20:16 316.594 perfh007.dat
22.04.2007 20:16 39.992 perfc009.dat
22.04.2007 20:16 48.156 perfc007.dat
22.04.2007 20:16 723.744 PerfStringBackup.INI
22.04.2007 19:59 2.206 wpa.dbl
22.04.2007 19:56 426 $winnt$.inf
22.04.2007 19:55 2.951 CONFIG.NT
22.04.2007 19:55 16.832 amcompat.tlb
22.04.2007 19:55 23.392 nscompat.tlb
22.04.2007 19:54 488 logonui.exe.manifest
22.04.2007 19:54 488 WindowsLogon.manifest
22.04.2007 19:54 749 cdplayer.exe.manifest
22.04.2007 19:54 749 nwc.cpl.manifest
22.04.2007 19:54 749 ncpa.cpl.manifest
22.04.2007 19:54 749 wuaucpl.cpl.manifest
22.04.2007 19:54 749 sapi.cpl.manifest
22.04.2007 19:53 21.740 emptyregdb.dat
30.03.2007 15:44 261.480 xactengine2_7.dll
30.03.2007 15:43 81.768 xinput1_3.dll
15.03.2007 16:57 443.752 d3dx10_33.dll
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\WINDOWS\Prefetch
22.04.2007 22:44 10.552 CMD.EXE-087B4001.pf
22.04.2007 22:44 81.404 MSIEXEC.EXE-2F8A8CAE.pf
22.04.2007 22:44 73.608 WMIPRVSE.EXE-28F301A9.pf
22.04.2007 22:39 48.922 AVSCAN.EXE-1702C14B.pf
22.04.2007 22:36 89.306 REGSVR32.EXE-25EEFE2F.pf
22.04.2007 22:36 17.202 AVGNT.EXE-34DB0DF2.pf
22.04.2007 22:36 1.654.118 NTOSBOOT-B00DFAAD.pf
22.04.2007 22:36 49.758 AVGUARD.EXE-081AFD34.pf
22.04.2007 22:01 86.358 CONSOLC.EXE-1FFA336E.pf
22.04.2007 21:54 73.748 RUNDLL32.EXE-2576181F.pf
22.04.2007 20:55 14.146 RUNDLL32.EXE-451FC2C0.pf
22.04.2007 20:55 56.058 NOTIMAN.EXE-1DA0C05D.pf
22.04.2007 20:54 56.680 SNDVOL32.EXE-383480B7.pf
22.04.2007 20:54 74.696 THXCONSOLE.EXE-2F6B8ED5.pf
22.04.2007 20:54 58.156 CONTROL.EXE-013DBFB5.pf
22.04.2007 20:53 22.262 CTREGSVR.EXE-2055720C.pf
22.04.2007 20:36 8.328 WSCNTFY.EXE-1B24F5EB.pf
22.04.2007 20:28 24.122 WUAUCLT.EXE-399A8E72.pf
22.04.2007 20:28 20.070 RUNONCE.EXE-2803F297.pf
22.04.2007 20:24 105.866 FIREFOX.EXE-28BE8AE1.pf
22.04.2007 20:21 4.418 ATI2SGAG.EXE-034D00DE.pf
22.04.2007 20:21 17.048 SETUP.EXE-0269ABCC.pf
22.04.2007 20:20 49.200 FIREFOX SETUP 2.0.0.3.EXE-01D9CE26.pf
22.04.2007 20:20 35.174 SETUP.EXE-2B77B3D1.pf
22.04.2007 20:20 6.320 READREG.EXE-0D71C4B9.pf
22.04.2007 20:20 13.324 REGEDIT.EXE-1B606482.pf
22.04.2007 20:20 61.842 IKERNEL.EXE-092EF074.pf
22.04.2007 20:20 62.908 SETUP.EXE-35ECC31B.pf
22.04.2007 20:19 10.666 CTAUDCS.EXE-286B9B9A.pf
22.04.2007 20:19 18.316 CTXFISPI.EXE-13A6C573.pf
22.04.2007 20:19 17.934 CTXFIHLP.EXE-1CFA348E.pf
22.04.2007 20:19 5.028 CTHWACCL.EXE-33710735.pf
22.04.2007 20:19 10.696 CTXFIREG.EXE-085D2F82.pf
22.04.2007 20:19 16.574 CTHELPER.EXE-0D7EC0DB.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-437C3A1D.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-1655DF58.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-1586E753.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-330B8C85.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-2586AB1A.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-2B8B23D4.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-3775BF93.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-29F0DE28.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-2FF556E2.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-2A0DDD9A.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-4A250B28.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-1449EFD1.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-2855CE4C.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-36A962EB.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-285569AC.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-3A47DF99.pf
22.04.2007 20:19 14.700 RUNDLL32.EXE-1C980510.pf
22.04.2007 20:19 14.712 RUNDLL32.EXE-20056AF4.pf
22.04.2007 20:19 12.712 RUNDLL32.EXE-2C703AED.pf
22.04.2007 20:19 12.712 RUNDLL32.EXE-14EC1EE8.pf
22.04.2007 20:19 12.712 RUNDLL32.EXE-4ABAF25B.pf
22.04.2007 20:19 14.404 OALINST.EXE-2111CBDE.pf
22.04.2007 20:19 7.756 ENLOCSTR.EXE-14BE93E6.pf
22.04.2007 20:19 14.716 REGPLIB.EXE-334114F0.pf
22.04.2007 20:19 16.476 KILLAPPS.EXE-09769CD4.pf
22.04.2007 20:19 10.890 SETUP.EXE-12AFDAF0.pf
22.04.2007 20:19 58.036 CTZAPXX.EXE-2569D150.pf
22.04.2007 20:19 47.512 SETUP.EXE-241AEFE4.pf
22.04.2007 20:18 32.406 IRSETUP.EXE-392E8421.pf
22.04.2007 20:18 50.038 OMEGA 7.1.EXE-142BE1CD.pf
22.04.2007 20:18 52.794 SBXF_PCDRV_LB_2_09_0007.EXE-001BBF55.pf
22.04.2007 20:16 30.000 WMIADAP.EXE-2DF425B2.pf
22.04.2007 20:16 16.084 IMAPI.EXE-0BF740A4.pf
22.04.2007 20:15 68.494 SVCHOST.EXE-3530F672.pf
22.04.2007 20:14 39.540 ASUSSETUP.EXE-323A12BD.pf
22.04.2007 20:14 21.408 ASUSSETUP.EXE-1D4E4BB9.pf
22.04.2007 20:14 24.766 RUNDLL32.EXE-2341BBC5.pf
22.04.2007 20:14 14.078 RUNDLL32.EXE-232C337F.pf
22.04.2007 20:14 18.740 REGFLASH.EXE-12E014E2.pf
22.04.2007 20:14 62.380 BINDMANAGER.EXE-0E7E2174.pf
22.04.2007 20:14 11.128 RUNDLL32.EXE-268BFF96.pf
22.04.2007 20:14 44.688 SETUP.EXE-09466E83.pf
22.04.2007 20:14 20.066 INETREG.EXE-25F41121.pf
22.04.2007 20:14 20.024 IDRIVER.EXE-2E776D3F.pf
22.04.2007 20:14 44.388 INSTALLU.EXE-011EBAB2.pf
22.04.2007 20:14 14.078 RUNDLL32.EXE-1E9576F9.pf
22.04.2007 20:10 10.456 SETUP.EXE-19C78B06.pf
22.04.2007 20:10 7.382 ASUSSETUP.EXE-16715FFF.pf
22.04.2007 20:09 12.324 INSTALL.EXE-04ED05F6.pf
22.04.2007 20:08 17.922 CTLAUNCH.EXE-3148614B.pf
22.04.2007 20:08 9.554 CTPBSEQ.EXE-05E01313.pf
22.04.2007 20:08 38.030 SETUP.EXE-3B71A8D5.pf
22.04.2007 20:07 5.064 CTHWACCL.EXE-16812316.pf
22.04.2007 20:06 9.844 CTZAPXX.EXE-1081B9CD.pf
22.04.2007 20:06 10.092 SETUP.EXE-148B2573.pf
22.04.2007 20:06 18.372 CTREGSVU.EXE-00EB22EA.pf
22.04.2007 20:05 12.760 LOGAGENT.EXE-027AF92B.pf
22.04.2007 20:04 30.020 WMFDIST95.EXE-02506157.pf
22.04.2007 20:04 6.306 WMFDIST95WP.EXE-31DE9B41.pf
22.04.2007 20:04 9.628 DRMUPGDS.EXE-00832A1D.pf
22.04.2007 20:04 55.014 WMSETSDK.EXE-33CEFB1A.pf
22.04.2007 20:04 39.630 SETUP.EXE-232901BB.pf
22.04.2007 20:03 13.746 INTRO.EXE-00DE6C1B.pf
22.04.2007 20:03 10.856 DEMO32.EXE-11923B2E.pf
22.04.2007 20:03 22.956 SELECT.EXE-101692F1.pf
22.04.2007 20:03 39.024 ASACPIINS.EXE-07C851E4.pf
22.04.2007 20:03 9.818 ASUSSETUP.EXE-2A678DD6.pf
22.04.2007 20:03 7.788 ASSETUP.EXE-36D9FE2D.pf
22.04.2007 20:03 10.356 SETUP.EXE-393E66AE.pf
22.04.2007 20:03 9.868 START.EXE-042E9A09.pf
22.04.2007 20:02 29.602 SCHED.EXE-35555958.pf
22.04.2007 20:02 15.780 RUNDLL32.EXE-498C0309.pf
22.04.2007 20:02 11.116 GRPCONV.EXE-111CD845.pf
22.04.2007 20:02 15.878 RUNDLL32.EXE-13E8E5C6.pf
22.04.2007 20:02 24.218 SETUP.EXE-04172DEC.pf
22.04.2007 20:01 67.652 ANTIVIR_WORKSTATION_WIN7U_DE_-0CCD0ACF.pf
22.04.2007 20:01 13.260 RUNDLL32.EXE-2C42B2F4.pf
22.04.2007 19:59 13.846 CTFMON.EXE-0E17969B.pf
22.04.2007 19:59 12.144 RUNDLL32.EXE-49F747DB.pf
22.04.2007 19:59 19.532 SHMGRATE.EXE-1BA69E68.pf
22.04.2007 19:59 24.032 RUNDLL32.EXE-286A7F8C.pf
22.04.2007 19:59 48.548 SETUP50.EXE-0CDEF78F.pf
22.04.2007 19:59 38.254 RUNDLL32.EXE-2AF77CC9.pf
22.04.2007 19:59 24.350 UNREGMP2.EXE-07CACB61.pf
22.04.2007 19:59 38.136 RUNDLL32.EXE-4499C56E.pf
22.04.2007 19:59 14.272 RUNDLL32.EXE-470F11BD.pf
22.04.2007 19:59 14.014 RUNDLL32.EXE-169CA248.pf
22.04.2007 19:59 51.508 IE4UINIT.EXE-169A5A39.pf
22.04.2007 19:59 20.096 EXPLORER.EXE-082F38A9.pf
22.04.2007 19:59 12.690 USERINIT.EXE-30B18140.pf
22.04.2007 19:58 14.614 ALG.EXE-0F138680.pf
22.04.2007 19:58 16.298 MSOOBE.EXE-30411B02.pf
22.04.2007 19:58 1.162 SERVICES.EXE-2F433351.pf
22.04.2007 19:58 5.014 LSASS.EXE-20DB6D1B.pf
22.04.2007 19:58 10.554 SPOOLSV.EXE-282F76A7.pf
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\WINDOWS\tasks
22.04.2007 22:34 6 SA.DAT
22.04.2007 21:00 400 1-Klick-Wartung.job
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\WINDOWS\Temp
22.04.2007 22:35 0 UpdE.tmp
22.04.2007 22:34 0 Upd4.tmp
22.04.2007 20:27 0 Upd1.tmp
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Windows & Co
Volumeseriennummer: 246C-D27D
Verzeichnis von C:\DOKUME~1\Steffen\LOKALE~1\Temp
22.04.2007 20:51 836 QTInstallCode.log
22.04.2007 20:51 3.885 qtplugin.log
22.04.2007 20:35 41.184 ~DFA7F6.tmp
22.04.2007 20:19 72.539 CTZapLog.txt
22.04.2007 20:18 173 VerChk.txt
22.04.2007 20:07 58.732 CTZapTest.txt
|
|
23.04.2007, 17:56
| #2 |
| Administrator > Competence Manager  | TR/Agent und Co. Hallo und
__________________ im Trojaner Board!Da sind gleich mehrere Sachen auf deinem System, aber ich denke das kriegen wir wieder weg. Außerdem bist du mein Testkaninchen für meine Anleitung zur Entfernung von New.Net. Sorry ..  Daher folgendes: Deinstalliere die DEALIO-Toolbar über Start -> Systemsteuerung -> Software Dann lies dir diese Anleitung und arbeite sie ab: Entfernung New.Net Sollten noch Fragen sein bitte melden.  Zusätzlich bitte nach der Bereinigung ein neues Hijacklog posten. Gruß Sunny
__________________ |
|
23.04.2007, 18:21
| #3 |
| | TR/Agent und Co. Also ob ich Versuchskaninchen bin oder nicht ist egal, hauptsache ich bekomme das Teil weg ^^
__________________Das Dealio Teil ist nicht zu finden. Das New.Net Ding hab ich mit der Uninstaller Datei deinstalliert. Hier ist das neue HiJack Log Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 19:21:24, on 23.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\CTHELPER.EXE D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe D:\PROGRA~1\eScan\TRAYICOS.EXE D:\PROGRA~1\eScan\AVPMWrap.EXE D:\Programme\RocketDock\RocketDock.exe D:\PROGRA~1\eScan\MAILDISP.EXE D:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE D:\PROGRA~1\eScan\TRAYSSER.EXE D:\PROGRA~1\eScan\MAILSCAN.EXE D:\PROGRA~1\eScan\avpm.exe D:\PROGRA~1\ESCAN\SPOOLER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE D:\Programme\Creative\ShareDLL\CADI\NotiMan.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\svchost.exe D:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\PROGRA~1\eScan\vista\ScanningProcess.exe D:\PROGRA~1\eScan\AvpM.exe D:\PROGRA~1\eScan\vista\ScanningProcess.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe F:\Tools\Vollversionen\Systemtools und Virenscanner\Hijack This\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [RCSystem] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [VolPanel] "D:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [MailScan Dispatcher] D:\PROGRA~1\eScan\LAUNCH.EXE O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe" O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer = 192.168.1.254 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - D:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\eScan\avpm.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
__________________ |
|
23.04.2007, 18:36
| #4 |
| Administrator > Competence Manager | TR/Agent und Co. Wunderbar, hat alles funktioniert, sowohl dein Zutun als auch meine Anleitung.  Das Hijacklog sieht auch wieder clean aus, und sofern keine weiteren Probleme mehr bestehen, kann ich dich als "geheilt" entlassen. Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
23.04.2007, 19:52
| #5 |
| | TR/Agent und Co. Würde dir jetzt auch zustimmen, wenn das Problem mit der langsamen RocketDock und das PopUp Problem nicht mehr vorhanden wären. Jedoch sind die PopUp´s immer noch sehr stark vorhanden. War grad 20 Minuten nicht am Rechner und hatte 8 Internet Explorer Fenster mit der Base (die mit der Handyflat) Seite auf. Ist echt schrecklich. Kaum mache ich den Firefox auf und surfe durch ein paar Seiten kommt so ein Teil. Jetzt grad auch schon wieder während ich das schreibe. Hatte grad mal im abgesicherten Modus ein Virenscan durchgeführt. Ohne Erfolg. Dort ging übrigens die RocketDock ohne Probleme. Ach ja, das Problem der RocketDock äußert sich in einer Verzögerung bis die Ordner geöffnet werden.
__________________ «SysProfile».......«Last.FM». |
|
23.04.2007, 19:59
| #6 |
| Administrator > Competence Manager | TR/Agent und Co. Allso dann nochmal von vorne:  Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen und bereinigen. (Option 2) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Sunny
__________________ --> TR/Agent und Co. |
|
23.04.2007, 20:08
| #7 |
| | TR/Agent und Co. SmitFraud Code:
ATTFilter SmitFraudFix v2.171
Scan done at 21:03:10,48, 23.04.2007
Run from C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{07913C0B-8B4A-464E-9D77-67449CF99DBB}: NameServer=192.168.1.254
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
__________________ «SysProfile».......«Last.FM». Geändert von Steffen. (23.04.2007 um 20:29 Uhr) |
|
23.04.2007, 21:12
| #8 |
| | TR/Agent und Co. Hier das Log von eScan. Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt
Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Mon Apr 23 21:12:38 2007 => Virus-Datenbank Datum: 4/23/2007
Mon Apr 23 21:14:17 2007 => Virus-Datenbank Datum: 4/23/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 21:15:23 2007 => System found infected with windupdates Spyware/Adware (iesetup.exe)! Action taken: Keine Aktion vorgenommen.
Mon Apr 23 21:15:25 2007 => System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Mon Apr 23 21:18:27 2007 => Datei C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Thunderbird\Profiles\9f1uzn6y.default\mx.freenet-1.de\Inbox//[From "ForumBase Foren" <admins@forumbase.de>][Date Sun, 16 Jan 2005 14:57:06 +0100 (CET)]/text//[From webmaster@ewock.de (ewock.de)][Date ... infiziert von "Email-Worm.Win32.Sober.p" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 23 21:14:48 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 21:14:49 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 21:24:30 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Mon Apr 23 21:24:31 2007 => File C:\Dokumente und Einstellungen\Steffen\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 23 21:15:23 2007 => Offending file found: C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\temp\7zs32c.tmp\update\iesetup.exe
Mon Apr 23 21:15:25 2007 => Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 21:18:54 2007 => C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Thunderbird\Profiles\9f1uzn6y.default\mx.freenet-1.de\Sent nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Apr 23 21:14:22 2007 => Specherüberprüfung: Aktiviert
Mon Apr 23 21:14:22 2007 => Registry Überprüfung: Aktiviert
Mon Apr 23 21:14:22 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 23 21:14:22 2007 => Überprüfung aller Festplatten :Aktiviert
Code:
ATTFilter 04/23/07 22:15:37 [Info]: BlackLight Engine 1.0.61 initialized
04/23/07 22:15:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/23/07 22:15:37 [Note]: 7019 4
04/23/07 22:15:37 [Note]: 7005 0
04/23/07 22:15:40 [Note]: 7006 0
04/23/07 22:15:40 [Note]: 7011 340
04/23/07 22:15:41 [Note]: 7026 0
04/23/07 22:15:41 [Note]: 7026 0
04/23/07 22:15:41 [Note]: FSRAW library version 1.7.1021
04/23/07 22:19:32 [Note]: 7007 0
__________________ «SysProfile».......«Last.FM». Geändert von Steffen. (23.04.2007 um 21:23 Uhr) |
|
24.04.2007, 17:15
| #9 |
| | TR/Agent und Co. push...............
__________________ «SysProfile».......«Last.FM». |
|
| Themen zu TR/Agent und Co. |
| antivir, avira, dateien, drivers, escan, explorer, hijack this, hijackthis, hotkey, immer wieder, internet, internet explorer, laufwerk c, log, logfile, microsoft, monitor, object, pop-ups, prefetch, problem, programme, rundll, software, sound, system, system 32, systemtools, unknown file in winsock lsp, vista, windows xp |
