Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.agent.pz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.10.2007, 22:32   #1
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Hallo zusammen,

ich habe ein Problem mit o.g. Trojaner.
Wurde vor mehreren Tagen von AntiVir bei mir entdeckt, aber dann gelöscht (so dachte ich).
Seit gestern habe ich ein Problem mit meiner Tastatur...ich kann keine Akzente mehr tippen.
Heute hing sich dann mein Rechner beim Hochfahren auf; nach dem Reboot stürzte gleich ICQ mit einer Fehlermeldung ab und Uhrzeit und Datum waren auf falsch (als Jahr stand der Rechner bei 2002).
Das brachte mich dann dazu, doch noch einmal Spybot zu installieren, der auch diverse Sachen fand, die ich bereinigte.
O.g. Trojaner Win32.agent.pz läßt sich jedoch leider nicht bereinigen.
Spybot tut immer so, als würde es den Fehler beseitigen; wenn ich den Scan jedoch nochmals laufen lasse, erscheinen wieder 3 Einträge von Win32.agent.pz.

Ich habe mir dann HiJackIt heruntergeladen und die Risikomeldung (s.u.) versucht zu fixen, jedoch auch leider ohne Erfolg. Bei einem zweiten Scan wird das gleiche Problem wieder angezeigt.
AntiVir erkennt keinen Virus mehr.

Weiß jemand Rat? Ich bin über jede Hilfe dankbar!

Hier nun noch das HiJack Log (ich hoffe, ich hab alles richtig gemacht):

Logfile of HijackThis v1.99.1
Scan saved at 21:25:58, on 12.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\DVBViewerTE\AP Launch.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\***\Cisco VPN Client\cvpnd.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\eMule\emule.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Grisoft\AVG7\avgcc.exe
C:\Programme\Grisoft\AVG7\avgwb.dat
C:\Dokumente und Einstellungen\AB\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tchibo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbuA7\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbuA7\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbuA7\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE
O4 - Startup: AP Launch.lnk = C:\Programme\DVBViewerTE\AP Launch.exe
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ***** Cisco VPN Client.lnk = C:\Programme\******\Cisco VPN Client\vpngui.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tchibo.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122027772881
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122028149709
O17 - HKLM\System\CCS\Services\Tcpip\..\{364F7C0B-A332-49E0-B317-8C5C8A6883A0}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC1A272-4862-4952-92D8-39CC660B1584}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\*****\Cisco VPN Client\cvpnd.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


HiJackThis zeigt folgenden Eintrag als kritisch an:
Besucherbewertung Analysedetails
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

Art

Schädlich
Schädlich
Wird seit HijackThis 1.98 angezeigt. Steht nichts hinter dem "," (Komma), gut.


Habe gerade auch noch AVG Free Advisor installiert - das Programm erkennt auch keinen Virus.

Alt 13.10.2007, 09:47   #2
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Nachem ich heute morgen ein Update von AVG gezogen haben, hat es den Trojaner erkannt und (wie es scheint) auch gelöscht. Spybot findet auch nichts mehr und HijackThis Logfileauswertung meldet auch nichts Kritisches mehr.

Kann der Trojaner mir ernsthaften Schaden angerichtet haben? Sollte ich jetzt alle PWs ändern etc.?
Danke für Eure Hilfe!
__________________


Alt 13.10.2007, 09:57   #3
nochdigger
 
Win32.agent.pz - Standard

Win32.agent.pz



Hallo

Zitat:
hat es den Trojaner erkannt und (wie es scheint) auch gelöscht.
Bei dem Freund wäre ich vorsichtig, eine Neuinstallation hätte hier denke ich durchaus seine Berechtigung.
Führe mal einige Tests durch nach dieser Liste hier (Ausnahme Blacklight, läuft nicht mehr) :
AntiRootkit Scanner Anleitung - HijackThis.de Support Board
anschließend poste einige der Ergebnisse und berichte mal.

MFG
__________________

Alt 13.10.2007, 13:44   #4
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Hallo,

danke für die Antwort, auch wenn mich das mit der Neuinstallation nicht gerade erfreut ;(.
Habe alle Programme laufen lassen, hier nun die Ergebnisse:

RootkitRevealer:

HKLM\SECURITY\Policy\Secrets\SAC* 16.06.2005 16:28 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 16.06.2005 16:28 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol 24.01.2006 16:12 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 13.10.2007 08:50 0 bytes Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 11.07.2007 21:01 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 11.07.2007 21:01 111.50 KB Visible in Windows API, but not in MFT or directory index.

Sophos:


Sophos Anti-Rootkit Version 1.3.1 (data 1.07) (c) 2006 Sophos Plc
Started logging on 13.10.2007 at 12:22:09
Hidden: registry item \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40
Stopped logging on 13.10.2007 at 12:27:10


TrendMicro:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Root : 0
SubKey : 0Jf40
ValueName : khjeh
Data : 20 02 00 00 0B 07 19 93 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x220
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Root : 0
SubKey : 0Jf40
ValueName : hj34z0
Data : 8A 62 8D 7B 48 67 44 15 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x3b0
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Root : 0
SubKey : 0Jf40
ValueName : hj34z1
Data : 11 63 8D AF 28 66 44 CC ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x3b0
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Root : 0
SubKey : 0Jf40
ValueName : hj34z2
Data : 0A 63 8D A0 33 66 44 C9 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x3b0
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Root : 0
SubKey : 0Jf40
ValueName : hj34z3
Data : 07 63 8D 2D 3E 66 44 71 ...
ValueType : 3
AccessType: 0
FullLength: 0x46
DataSize : 0x353
5 hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

AVG, Bitdefender und Panda AntiRootKit haben nichts gefunden.


Schonmal im Voraus danke für die Hilfe!

Mfg
Alex

Alt 13.10.2007, 13:45   #5
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Das Log von GMER ist zu lang fürs Forum, und ich weiß leider nicht, was daraus wichtig ist...(?)


Alt 13.10.2007, 14:22   #6
-SkY-
Gast
 
Win32.agent.pz - Standard

Win32.agent.pz



Was zu lang ist kann man anhängen

Alt 13.10.2007, 15:01   #7
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Ups...danke für den Hinweis.
Aber die Datei ist 23 Seiten lang(?) und damit auch als Anhang zu groß. Hab ich irgendwas falsch gemacht oder is das Log immer so lang?

Alt 13.10.2007, 16:06   #8
nochdigger
 
Win32.agent.pz - Standard

Win32.agent.pz



Hallo

du kannst das Log auch z.B. hier hochladen
File-Upload.net - Ihr kostenloser File Hoster!
und dann auf die Datei verlinken.

Also zu den Rootkitscannern kann ich nicht viel sagen, ich dachte, dass die Ergebnisse evtl. eindeutiger wären.

Lass bitte mal Combofix laufen

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

Alt 13.10.2007, 17:14   #9
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Hm, nachdem ich das Programm das erste Mal ausgeführt hatte und das Log hier posten wollte, ist mein Rechner abgeschmiert bzw. wurde angehalten (mit blauem Bildschirm). Seitdem keine Auffälligkeiten mehr...

Also hier das Log von ComboFix:
ComboFix 07-10-12.4 - AB 2007-10-13 17:07:04.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.27.1031.18.539 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\AB\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-13 bis 2007-10-13 ))))))))))))))))))))))))))))))
.

2007-10-13 16:32 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-13 13:23 <DIR> d-------- C:\Programme\Panda Antirootkit
2007-10-13 13:15 <DIR> d-------- C:\RootKitBuster
2007-10-13 13:15 102,800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-10-13 12:41 <DIR> d-------- C:\SOPHTEMP
2007-10-13 12:20 <DIR> d-------- C:\Programme\Sophos
2007-10-13 11:35 <DIR> d-------- C:\Programme\RootKit
2007-10-12 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\AB\Anwendungsdaten\AVG7
2007-10-12 21:17 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-10-12 21:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-12 21:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2007-09-26 21:17 <DIR> d-------- C:\Dokumente und Einstellungen\AB\Anwendungsdaten\Printer Info Cache
2007-09-26 21:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2007-09-26 16:39 <DIR> d-------- C:\Programme\ViennaSoft
2007-09-23 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2007-09-22 19:56 97,056 -ra------ C:\WINDOWS\system32\drivers\w200mdm.sys
2007-09-22 19:56 88,560 -ra------ C:\WINDOWS\system32\drivers\w200mgmt.sys
2007-09-22 19:56 86,368 -ra------ C:\WINDOWS\system32\drivers\w200obex.sys
2007-09-22 19:56 61,504 -ra------ C:\WINDOWS\system32\drivers\w200bus.sys
2007-09-22 19:56 9,328 -ra------ C:\WINDOWS\system32\drivers\w200mdfl.sys
2007-09-22 19:56 6,208 -ra------ C:\WINDOWS\system32\drivers\w200cmnt.sys
2007-09-22 19:56 6,208 -ra------ C:\WINDOWS\system32\drivers\w200cm.sys
2007-09-22 19:56 5,840 -ra------ C:\WINDOWS\system32\drivers\w200whnt.sys
2007-09-22 19:56 5,840 -ra------ C:\WINDOWS\system32\drivers\w200wh.sys
2007-09-22 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\AB\Anwendungsdaten\Teleca
2007-09-22 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\AB\Anwendungsdaten\Sony Ericsson
2007-09-22 19:52 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-22 19:52 <DIR> d-------- C:\Programme\Sony Ericsson
2007-09-22 19:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-09-22 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2007-09-22 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2007-09-22 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2007-09-21 22:34 <DIR> d-------- C:\Programme\Bethesda Softworks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-13 15:04 37,302 ----a-w C:\Dokumente und Einstellungen\AB\Anwendungsdaten\wklnhst.dat
2007-10-13 14:47 --------- d-----w C:\Dokumente und Einstellungen\AB\Anwendungsdaten\Skype
2007-10-13 14:41 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-10-13 12:03 --------- d-----w C:\Programme\eMule
2007-10-10 08:10 --------- d-----w C:\Programme\Weight Watchers FlexPoints
2007-09-26 19:16 --------- d-----w C:\Programme\HP
2007-09-23 11:10 --------- d-----w C:\Dokumente und Einstellungen\AB\Anwendungsdaten\U3
2007-09-21 20:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-09 17:32 --------- d-----w C:\Programme\Disc2Phone
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-18 10:53 --------- d-----w C:\Dokumente und Einstellungen\AB\Anwendungsdaten\Image Zone Express
2007-08-17 21:34 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-02-12 17:19 61,000 ----a-w C:\Dokumente und Einstellungen\AB\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-04-04 14:46 66,425 ----a-w C:\Dokumente und Einstellungen\AB\Anwendungsdaten\mdb.bin
2005-06-17 10:50 0 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2005-06-16 16:57:58 8 --sh--r C:\WINDOWS\system32\4294756E36.sys
2005-06-16 16:57:58 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2007-10-13_16.35.41,60 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-13 11:33:50 73,380 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2007-10-13 14:45:07 73,380 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2007-10-13 11:33:50 60,784 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-10-13 14:45:07 60,784 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-10-13 11:33:50 410,158 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2007-10-13 14:45:07 410,158 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2007-10-13 11:33:50 396,120 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-10-13 14:45:07 396,120 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 08:32]
"nwiz"="nwiz.exe" [2005-02-24 08:32 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-08 15:53 C:\WINDOWS\AGRSMMSG.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 14:05 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 17:15 C:\WINDOWS\CNYHKey.exe]
"Dit"="Dit.exe" [2004-07-20 18:18 C:\WINDOWS\Dit.exe]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2005-06-07 15:48]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Prism_Utility"="Prismsta.exe" [2004-01-14 17:09 C:\WINDOWS\system32\PRISMSTA.exe]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:06]
"Cmaudio"="cmicnfg.cpl" []
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-12 21:17]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-07-02 17:10]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-28 19:21]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys
R3 actser;actser;C:\WINDOWS\system32\drivers\actser.sys
R3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys
R3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys
R3 X10UIF;%DESCRIPTION%;C:\WINDOWS\system32\Drivers\x10uif.sys
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\140.tmp
S3 RBOELXUIYGBMQG;RBOELXUIYGBMQG;C:\DOKUME~1\AB\LOKALE~1\Temp\RBOELXUIYGBMQG.exe
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce20d4c4-df0c-11d9-a1ce-806d6172696f}]
AutoRun\command - AUTORUN\AUTORUN.EXE

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-13 17:08:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-13 17:09:19
C:\ComboFix2.txt ... 2007-10-13 16:36
.
--- E O F ---


Und hier noch der Link zum Log von Gmer:
http://www.file-upload.net/download-445320/gmer.txt.html

Übrigens kann ich spätestens seit heute morgen wieder Akzente mit meiner Tastatur tippen...zumindest das Problem ist weg.

Grüße,
Alex

Alt 17.10.2007, 08:23   #10
A_lex
 
Win32.agent.pz - Standard

Win32.agent.pz



Hallo,

hat keiner mehr einen Tipp? Is mein Rechner nun "sauber" oder sollt ich doch eher formatieren? Oder gibts vielleicth noch irgendwelche Programme, die mir helfen könnten?
Nochmal danke für Eure Hlfe!

Antwort

Themen zu Win32.agent.pz
akzente, antivir, application, avg free, avira, bho, cisco vpn, cyberlink, desktop, e-mail, einstellungen, firefox, google, helper, hijackthis, home, internet, internet explorer, mehrere, mozilla, mozilla firefox, problem, rundll, scan, server, software, system, träge, urlsearchhook, userinit.exe, virus, win32.agent.pz, windows, windows xp



Ähnliche Themen: Win32.agent.pz


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Mehrere Viren gefuden: Win32.Adware.OfferMosquito.A und Win32.Trojan.Agent.KQF
    Log-Analyse und Auswertung - 19.09.2014 (23)
  3. Win32/openCandy + Win32.Trojan.Agent.C5K071 auf PC Win7/64bit
    Log-Analyse und Auswertung - 17.01.2014 (3)
  4. TR/Agent.10512429.1 und Win32/Agent.SZW trojan
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (30)
  5. Win32.Agent.tdd / Win32.Delf.uv Trojaner
    Log-Analyse und Auswertung - 15.06.2011 (3)
  6. nach spybot durchlauf... Win32.Agent.ieu, Win32.FraudLoad, Win32.PornPopup
    Log-Analyse und Auswertung - 08.08.2010 (3)
  7. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  8. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  9. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  10. Probleme mit Tr/win32.Tiny.h Tr/Win32.Agent.bq! Hilfe
    Mülltonne - 02.10.2008 (0)
  11. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  12. Was sind Win32.Rungbu.a und Win32.Agent.frl
    Plagegeister aller Art und deren Bekämpfung - 18.07.2008 (0)
  13. Sind Win32.Agent.frl und Win32.Rungbu.a Schadprogramme???
    Mülltonne - 15.07.2008 (0)
  14. Trojaner-Verdacht: Win32:Agent-PBF + Win32:Zlob-AJG
    Log-Analyse und Auswertung - 05.01.2008 (1)
  15. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  16. Trojan-Clicker.Win32.Agent.ac / Bachdoor.Win32.PoeBot.a etc
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Win32.agent.pz - Hallo zusammen, ich habe ein Problem mit o.g. Trojaner. Wurde vor mehreren Tagen von AntiVir bei mir entdeckt, aber dann gelöscht (so dachte ich). Seit gestern habe ich ein Problem - Win32.agent.pz...
Archiv
Du betrachtest: Win32.agent.pz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.