Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan Agent.BCK und BHO.G

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.10.2007, 14:24   #1
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Ich habe ständig das Problem, dass mein Internetexplorer sich öffnet und die Seite drivecleaner.com öffnen will. Zusätzlich bringt mein NOD32 ständig eine Trojaner Warnung.

Ich habe gestern den ganzen Tag daran gearbeitet so eine Adaware.Virtumonde weg zu bekommen. Ich habe mit Hilfe des Forums und des Internete eigentlich gedacht jetzt ist mein PC wieder clean, weil auch Lavasoft Adaware mir keinen mehr angezeigt hat.

Nun bekomme ich immer diese Meldung meines NOD32:

Threat:

Win32/Agent.BCK trojan oder auch mal Win32/BHO.G trojan

Ich bekomme ihn mit meinem NOD32 irgendwie nicht weg. Die "yjysjhum.dll" scheint ein (ich glaube langsam es sind sau viele) Übeltäter zu sein.

Hier mal mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:21:13, on 06.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\...\Download\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://w**.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***p://**.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***p://**.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***p://**.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://**.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***p://**w.msn.de/
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yjysjhum.dll",sitypnow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\UltimateBet\UltimateBet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160397022281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160397118953
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe

Alt 06.10.2007, 14:42   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Hallo.

Code:
ATTFilter
C:\WINDOWS\system32\yjysjhum.dll
         
Werte diese Datei mal online bei Virustotal aus und poste die Ergebnisse.
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
Und mach bitte ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________

__________________

Alt 06.10.2007, 16:44   #3
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



So, hat leider ne Weile gedauert.

Anmerkung: Also Everest Poker und die Router Datei sind es meiner Meinung nicht. Die sind zu lange auf dem PC.

VirusTotal Ergebniss (alle die nichts gefunden haben entfernt):

HTML-Code:
Antivirus  	Version  	letzte aktualisierung  	Ergebnis

AntiVir	                   7.6.0.20	      2007.10.05	TR/Dldr.ConHook.Gen
Norman	                 5.80.02	    2007.10.05	      Vundo.gen41
Panda	                  9.0.0.4	      2007.10.06	Suspicious file
Prevx1	                  V2	               2007.10.06	Trojan.Vundo
Sophos	                 4.22.0	             2007.10.06	       Virtumundo
Webwasher-Gateway 6.0.1	              2007.10.05       Trojan.Dldr.ConHook.Gen

weitere Informationen
File size: 85056 bytes
MD5: 67b47ca45eb05e9524eccd20a67e084e
SHA1: 01543021d30d2a125149eb77a148aef1fc8543a1
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=85E7332C404E19B84CE6015E0745B200C5141E4E
eScan:

HTML-Code:
[b]Header[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.4.4 
Sprache: German 
Virus-Datenbank Datum: 10/3/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Infektionsmeldungen[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen. 
 System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
[b]Dateien[/b] 
~~~~~~~~~~~ 
~~~~ [i][b]Infected files[/b][/i] 
~~~~~~~~~~~ 
 Datei C:\Frank\Download\Everest Pokernet.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ [i][b]Tagged files[/b][/i] 
~~~~~~~~~~~ 
 Datei C:\Frank\Download\cl08seCu10\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ [i][b]Offending files[/b][/i] 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
[b]Ordner[/b] 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
[b]Registry[/b] 
~~~~~~~~~~~ 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Diverses[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
[b][i]Prozesse und Module[/i][/b] 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... 
~~~~~~~~~~~~~~~~~~~~~~ 
[b][i]Hosts-Datei[/i][/b] 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
[b]Statistiken:[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 109225 
 Gefundene Viren: 4 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 149 
 Dauer des Scans bisher: 01:14:29 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
[b]Scan-Optionen[/b] 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 17:25:18,57 
Batchende: 17:25:26,70 
Silentrunners:

HTML-Code:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ISUSPM Startup" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup" ["Macrovision Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["Macrovision Corporation"]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"Device Detector" = ""C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun" ["ACD Systems, Ltd."]
"nod32kui" = ""C:\Programme\Eset\nod32kui.exe" /WAITSERVICE" ["Eset "]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SearchIndexer" = "rundll32.exe "C:\WINDOWS\system32\yjysjhum.dll",sitypnow" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{B58B63A5-E078-45CF-9337-DF95429A5CFA}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\vturs.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
  -> {HKLM...CLSID} = "History Band"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {HKLM...CLSID} = "Portable Media Devices Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B089FE88-FB52-11D3-BDF1-0050DA34150D}" = "NOD32 Context Menu Shell Extension"
  -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
  -> {HKLM...CLSID} = "TuneUp Theme Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
  -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
  -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
  -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Familie" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\imon.dll ["Eset "], 01 - 05, 20
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E0E899AB-F487-11D5-8D29-0050BA6940E3}" = "FlashGet"
  -> {HKLM...CLSID} = "FlashGet"
                   \InProcServer32\(Default) = "C:\Programme\FlashGet\fgiebar.dll" ["Amaze Soft"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{94148DB5-B42D-4915-95DA-2CBB4F7095BF}\
"ButtonText" = "UltimateBet"
"MenuText" = "UltimateBet"
"Exec" = "C:\Programme\UltimateBet\UltimateBet.exe" ["UltimateBet"]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FA9B9510-9FCB-4CA0-818C-5D0987B47C4D}\
"ButtonText" = "PokerStars.net"
"Exec" = "C:\Programme\PokerStars.NET\PokerStarsUpdate.exe" ["PokerStars"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
NOD32 Kernel Service, NOD32krn, ""C:\Programme\Eset\nod32krn.exe"" ["Eset "]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2007-10-06 17:30:46)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 68 seconds, including 21 seconds for message boxes)
Und filelist ist im Anhang:
__________________
Angehängte Dateien
Dateityp: txt filelist.txt (16,0 KB, 547x aufgerufen)

Alt 06.10.2007, 22:52   #4
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Also ich habe mir AntiVir besorgt, da AntiVir ja meine dll als Virus erkannt hat. Er hat sie auch noch mal gefunden und erfolgreich entfernt. Ich habe daraufhin noch mal alle temporären Dateien gelöscht, alles manuell überprüft, sowie mein Nod32 und AdAware 2007 drüber laufen lassen.

Es kommt auch nun keine Trojaner Meldung mehr und mein Browser öffnet sich bis zu diesem Zeitpunkt auch nicht mehr willkürlich. Jedoch hatte ich es gestern Abend auch schon so weit und heute morgen ging der ganze Spaß von vorne los.

Somit bezweifle ich, dass ich die Quelle des ganzen Übels erfolgreich entfernt habe. Kennt sich also jemand damit aus und kann mir bestätigen, dass nun alles weg sein müsste.

Mein highjackthis.log zeigt keine unbekannten aktivitäten mehr an. Vor allem die dll Datei ist weg.

Alt 07.10.2007, 14:57   #5
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



So, es kam gerade wieder ein Trojaner Meldung. Kann jemand aus den Daten oben erkennen, um was für ein Trojaner es sich hier handelt? Und wenn ja, besteht denn eine Möglichkeit ihn weg zu bekommen. Ich möchte sehr ungern mein System wieder neu aufsetzten.

Edit: Vundofix und die ganzen Sachen habe ich schon gemacht. Man bekommt die dll Dateien dann auch weg. Aber spätestens nach einem Tag ist was neues da. Die Quelle muss also woanders sitzen.


Geändert von Sketch (07.10.2007 um 15:02 Uhr)

Alt 07.10.2007, 20:15   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Ein paar Objekte müssen gelöscht werden:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\yjysjhum.dll
C:\WINDOWS\system32\vturs.dll
C:\WINDOWS\system32\srutv.ini
C:\WINDOWS\system32\muhjsyjy.ini
C:\WINDOWS\system32\srutv.bak2
C:\WINDOWS\system32\axcocrjq.ini
C:\WINDOWS\system32\srutv.ini2
C:\WINDOWS\system32\xulewebs.ini
C:\WINDOWS\system32\eujxbqwn.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qpvigyje.ini
C:\WINDOWS\system32\jqohhxvo.ini
C:\WINDOWS\system32\ovxhhoqj.dll
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\QTFont.for

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\B58B63A5-E078-45CF-9337-DF95429A5CFA
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchIndexer
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
6.) Lad dir dieses script (Rechtsklick, speichern auf Desktop) und führ es aus. Es erzeugt eine "listing.txt" auf dem Desktop, lad die z.B. bei rapidshare hoch und verlink es hier.
__________________
--> Trojan Agent.BCK und BHO.G

Alt 08.10.2007, 01:06   #7
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Ok, danke erstmal. Werde es morgen Abend mal alles machen und alles hochladen. Währe cool, wenn du dann noch mal drüber schauen könntest

Geändert von Sketch (08.10.2007 um 01:22 Uhr)

Alt 08.10.2007, 02:39   #8
Pryk1
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



hallo
ich habe auch das problem dass sich mein internet explorer einfach öffnet.

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Alt 08.10.2007, 20:21   #9
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Hier das Ergebnis der avenger.txt:

Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\B58B63A5-E078-45CF-9337-DF95429A5CFA


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchIndexer


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xpdrfbng

*******************

Script file located at: \??\C:\WINDOWS\ppbyycxv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\yjysjhum.dll not found!
Deletion of file C:\WINDOWS\system32\yjysjhum.dll failed!

Could not process line:
C:\WINDOWS\system32\yjysjhum.dll
Status: 0xc0000034

File C:\WINDOWS\system32\vturs.dll deleted successfully.
File C:\WINDOWS\system32\srutv.ini deleted successfully.
File C:\WINDOWS\system32\muhjsyjy.ini deleted successfully.
File C:\WINDOWS\system32\srutv.bak2 deleted successfully.
File C:\WINDOWS\system32\axcocrjq.ini deleted successfully.
File C:\WINDOWS\system32\srutv.ini2 deleted successfully.
File C:\WINDOWS\system32\xulewebs.ini deleted successfully.
File C:\WINDOWS\system32\eujxbqwn.ini deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\qpvigyje.ini deleted successfully.
File C:\WINDOWS\system32\jqohhxvo.ini deleted successfully.


File C:\WINDOWS\system32\ovxhhoqj.dll not found!
Deletion of file C:\WINDOWS\system32\ovxhhoqj.dll failed!

Could not process line:
C:\WINDOWS\system32\ovxhhoqj.dll
Status: 0xc0000034

File C:\WINDOWS\system32\KGyGaAvL.sys deleted successfully.
File C:\WINDOWS\QTFont.for deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
Und hier der Link zur listing.txt:

http://rapidshare.com/files/61184413/listing.txt.html

Alt 09.10.2007, 15:32   #10
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Ist der Trojaner nun weg?

Alt 09.10.2007, 15:51   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



So, ich han nun endlich Zeit mir das anzuschaun, gestern bin ich nicht mehr dazu gekommen.
Da sind noch ein paar merkwürdige Dateien, sind höchstverdächtig, werte sie mal bei Virustotal aus und poste die Ergebnisse, damit wir evtl. weitere Schädlinge identifizieren können:

Code:
ATTFilter
c:\windows\QTFont.qfn
c:\windows\system32\yfrlmtfe.dll
c:\windows\system32\imon1.dat
         
Dann sind da noch:

Code:
ATTFilter
c:\windows\system32\eftmlrfy.ini
c:\windows\system32\gfpmoxpi.ini
         
Öffne diese INI-Dateien mit dem Editor und poste deren Inhalt.

Achso, könntest du mir auch mal das avenger.zip in c:\avenger zugänglich machen? Rapidshare sollte auch gehen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.10.2007, 20:59   #12
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Erstmal danke ich dir, dass du dich so um mein Problem kümmerst.

QTFont.qfn:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.10.11.0	2007.10.10	-
AntiVir	7.6.0.20	2007.10.10	-
Authentium	4.93.8	2007.10.09	-
Avast	4.7.1051.0	2007.10.10	-
AVG	7.5.0.488	2007.10.10	-
BitDefender	7.2	2007.10.10	-
CAT-QuickHeal	9.00	2007.10.10	-
ClamAV	0.91.2	2007.10.10	-
DrWeb	4.44.0.09170	2007.10.10	-
eSafe	7.0.15.0	2007.10.10	-
eTrust-Vet	31.2.5201	2007.10.10	-
Ewido	4.0	2007.10.10	-
FileAdvisor	1	2007.10.10	-
Fortinet	3.11.0.0	2007.10.10	-
F-Prot	4.3.2.48	2007.10.09	-
F-Secure	6.70.13030.0	2007.10.10	-
Ikarus	T3.1.1.12	2007.10.10	-
Kaspersky	7.0.0.125	2007.10.10	-
McAfee	5138	2007.10.10	-
Microsoft	1.2908	2007.10.10	-
NOD32v2	2585	2007.10.10	-
Norman	5.80.02	2007.10.10	-
Panda	9.0.0.4	2007.10.10	-
Prevx1	V2	2007.10.10	-
Rising	19.44.22.00	2007.10.10	-
Sophos	4.22.0	2007.10.10	-
Sunbelt	2.2.907.0	2007.10.10	-
Symantec	10	2007.10.10	-
TheHacker	6.2.6.082	2007.10.10	-
VBA32	3.12.2.4	2007.10.10	-
VirusBuster	4.3.26:9	2007.10.10	-
Webwasher-Gateway	6.0.1	2007.10.10	-
weitere Informationen
File size: 54156 bytes
MD5: dba91cd5a3a68302967c03213e52bde8
SHA1: 8188a5832590c810b08ee3a2f1567afcdd094108
         
yfrlmtfe.dll:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.10.11.0	2007.10.10	-
AntiVir	7.6.0.20	2007.10.10	TR/Dldr.ConHook.Gen
Authentium	4.93.8	2007.10.09	-
Avast	4.7.1051.0	2007.10.10	-
AVG	7.5.0.488	2007.10.10	Lop
BitDefender	7.2	2007.10.10	-
CAT-QuickHeal	9.00	2007.10.10	-
ClamAV	0.91.2	2007.10.10	-
DrWeb	4.44.0.09170	2007.10.10	-
eSafe	7.0.15.0	2007.10.10	-
eTrust-Vet	31.2.5201	2007.10.10	-
Ewido	4.0	2007.10.10	-
FileAdvisor	1	2007.10.10	-
Fortinet	3.11.0.0	2007.10.10	-
F-Prot	4.3.2.48	2007.10.09	-
F-Secure	6.70.13030.0	2007.10.10	-
Ikarus	T3.1.1.12	2007.10.10	-
Kaspersky	7.0.0.125	2007.10.10	-
McAfee	5138	2007.10.10	-
Microsoft	1.2908	2007.10.10	-
NOD32v2	2585	2007.10.10	-
Norman	5.80.02	2007.10.10	Vundo.gen41
Panda	9.0.0.4	2007.10.10	-
Prevx1	V2	2007.10.10	Trojan.Vundo
Rising	19.44.22.00	2007.10.10	-
Sophos	4.22.0	2007.10.10	Virtumundo
Sunbelt	2.2.907.0	2007.10.10	-
Symantec	10	2007.10.10	-
TheHacker	6.2.6.082	2007.10.10	-
VBA32	3.12.2.4	2007.10.10	-
VirusBuster	4.3.26:9	2007.10.10	-
Webwasher-Gateway	6.0.1	2007.10.10	Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 83520 bytes
MD5: fcb7ec3fadaa39f35431cefaa54e89e6
SHA1: 515c9941889ac7dd83dceb4e5f8640920209746e
         
imon1.dat:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.10.11.0	2007.10.10	-
AntiVir	7.6.0.20	2007.10.10	-
Authentium	4.93.8	2007.10.09	-
Avast	4.7.1051.0	2007.10.10	-
AVG	7.5.0.488	2007.10.10	-
BitDefender	7.2	2007.10.10	-
CAT-QuickHeal	9.00	2007.10.10	-
ClamAV	0.91.2	2007.10.10	-
DrWeb	4.44.0.09170	2007.10.10	-
eSafe	7.0.15.0	2007.10.10	-
eTrust-Vet	31.2.5201	2007.10.10	-
Ewido	4.0	2007.10.10	-
FileAdvisor	1	2007.10.10	-
Fortinet	3.11.0.0	2007.10.10	-
F-Prot	4.3.2.48	2007.10.09	-
F-Secure	6.70.13030.0	2007.10.10	-
Ikarus	T3.1.1.12	2007.10.10	-
Kaspersky	7.0.0.125	2007.10.10	-
McAfee	5138	2007.10.10	-
Microsoft	1.2908	2007.10.10	-
NOD32v2	2585	2007.10.10	-
Norman	5.80.02	2007.10.10	-
Panda	9.0.0.4	2007.10.10	-
Prevx1	V2	2007.10.10	-
Rising	19.44.22.00	2007.10.10	-
Sophos	4.22.0	2007.10.10	-
Sunbelt	2.2.907.0	2007.10.10	-
Symantec	10	2007.10.10	-
TheHacker	6.2.6.082	2007.10.10	-
VBA32	3.12.2.4	2007.10.10	-
VirusBuster	4.3.26:9	2007.10.10	-
Webwasher-Gateway	6.0.1	2007.10.10	-
weitere Informationen
File size: 143 bytes
MD5: 985fad1df2ae8058980d28bb83d4a9b5
SHA1: ab1f2665eb0950a4891cef34d0f7df06bd37d019
         
Die beiden ini Dateien sind nicht zu finden. Auch wenn ich mir alle Systemdateien aufzeigen lasse oder wenn man die Suche benutzt.

Im Ordner c:/avenger befindet sich nur die Backup.zip. Jedoch ist die mit einem Virus infiziert. Soll ich die wirklich hochladen.

Langsam werde ich wohl nicht mehr drumherum kommen das System neu auf zu setzten, oder?

Alt 10.10.2007, 23:36   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Zitat:
Die beiden ini Dateien sind nicht zu finden. Auch wenn ich mir alle Systemdateien aufzeigen lasse oder wenn man die Suche benutzt.
Die waren aber über ein einfaches filelisting zu finden, d.h. die verstecken sich nicht besonders.

Zitat:
Im Ordner c:/avenger befindet sich nur die Backup.zip. Jedoch ist die mit einem Virus infiziert. Soll ich die wirklich hochladen.
Klar ist das mit Viren infiziert. In diesem ZIP-Archiv sind die Virendateien, die du mit dem Avenger gelöscht hast. Ich bat dich, die hochzuladen, damit ich (oder auch andere) die auswerten können - um zukünftig eine bessere Chance der Erkennung derartiger Dateien anzupeilen. Denn du hattest einige Dateien im System drin, die weitestgehend unbekannt waren/sind.

Zitat:
Langsam werde ich wohl nicht mehr drumherum kommen das System neu auf zu setzten, oder?
Sieht fast so aus - ich kann und werd jedenfalls nach keiner Bereinigung meine Hand ins Feuer für "Sauberkeit" halten. Das tu ich nur, wenn ich die Systeme selber aufgesetzt habe.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.10.2007, 12:06   #14
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



Zitat:
Zitat von cosinus Beitrag anzeigen
Die waren aber über ein einfaches filelisting zu finden, d.h. die verstecken sich nicht besonders.
Das filelisting war aber schon eine Weile her. Können die nicht auch durch die Virenscanner, die ich in der Zeit genutzt habe gelöscht worden sein?

Zitat:
Zitat von cosinus Beitrag anzeigen
Klar ist das mit Viren infiziert. In diesem ZIP-Archiv sind die Virendateien, die du mit dem Avenger gelöscht hast. Ich bat dich, die hochzuladen, damit ich (oder auch andere) die auswerten können - um zukünftig eine bessere Chance der Erkennung derartiger Dateien anzupeilen. Denn du hattest einige Dateien im System drin, die weitestgehend unbekannt waren/sind.
Ok, ich werde die Datei heute Abend, bevor ich das System neu aufsetzte hoch laden.

Zitat:
Zitat von cosinus Beitrag anzeigen
Sieht fast so aus - ich kann und werd jedenfalls nach keiner Bereinigung meine Hand ins Feuer für "Sauberkeit" halten. Das tu ich nur, wenn ich die Systeme selber aufgesetzt habe.
Das System war eigentlich sicher. Und die Trojaner sind durch eine Dummheit auf den PC gelangt. Ich weiß auch ganz genau wo ich ihn eingefangen habe. Deshalb wird mir das in Zukunft nicht mehr passieren.

Trotzdem Danke nochmal für deine ganze Mühe.

Alt 11.10.2007, 18:51   #15
Sketch
 
Trojan Agent.BCK und BHO.G - Standard

Trojan Agent.BCK und BHO.G



So, hier ist der Link zu dem Backup.

Runterladen und öffnen auf eigene Gefahr. Virus!

http://rapidshare.com/files/61857230/backup.zip.html

Antwort

Themen zu Trojan Agent.BCK und BHO.G
ad-aware, dateien, download, excel, explorer, firefox, hijack, hijackthis, internet explorer, langsam, logfile, messenger, microsoft, mozilla, mozilla firefox, problem, programme, rundll, software, system, trojan, trojaner, windows, windows xp, öffnet



Ähnliche Themen: Trojan Agent.BCK und BHO.G


  1. trojan.agent/Gen-frauder und trojan.agent/Gen-Reputation gefunden
    Log-Analyse und Auswertung - 02.11.2013 (10)
  2. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  3. Trojan.Ransom.ED, Trojan.Agent.ED, Trojan.FakeMS.PRGen und Bublik b. durch Email erhalten?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (29)
  4. Bublik b.; Trojan.Ransom.ED; Trojan.Agent.ED und Trojan.FakeMS.PRGen in Email?
    Mülltonne - 28.03.2013 (0)
  5. Vista: Trojan.Ransom.Gen; Trojan.0Access; Trojan.Agent; Firewall inaktiv
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (3)
  6. Win.Trojan.Agent-228583, Win.Trojan.Expiro-1161 und Win.Trojan.Agent-232649
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (8)
  7. Trojan.Fakesmoke, Trojan.Agent-128337, Trojan.Agent-128287 bei Desinfect 2012 (Clam AV)
    Log-Analyse und Auswertung - 06.02.2013 (17)
  8. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  9. TR/ATRAPS.Gen und TR/Kazy durch Antivir gemeldet; ferner Trojan.Agent.MRGGen, Trojan.0Access, Trojan.Dropper.BCMiner
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (10)
  10. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  11. Wohl mehrere Viren: Rootkit.0Access Trojan.Zaccess Trojan.RansomP.Gen Trojan.Agent bzw. TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (13)
  12. Trojan.Apppatch,Trojan.Agent.BVXGen und Trojan.Midhos in C:\Users\inet-kid\AppData,TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.09.2012 (35)
  13. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  14. EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (5)
  15. Trojan.Agent, Trojan.FakeAltert, Trojan.Hiloti.Gen gefunden und gelöscht,aber wirklich weg?
    Log-Analyse und Auswertung - 27.04.2011 (11)
  16. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  17. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)

Zum Thema Trojan Agent.BCK und BHO.G - Ich habe ständig das Problem, dass mein Internetexplorer sich öffnet und die Seite drivecleaner.com öffnen will. Zusätzlich bringt mein NOD32 ständig eine Trojaner Warnung. Ich habe gestern den ganzen Tag - Trojan Agent.BCK und BHO.G...
Archiv
Du betrachtest: Trojan Agent.BCK und BHO.G auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.