Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Rootkit.Win32.Agent.p

Rootkit.Win32.Agent.p


Log-Analyse und Auswertung: Rootkit.Win32.Agent.p

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.11.2007, 19:49   #1
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Ausrufezeichen

Rootkit.Win32.Agent.p


Hallo!
Arovax AntiSpyware hat Rootkit.Win32.Agent.p gefunden.
Aber er kann nicht gelöscht werden.
Ich weis noch nicht mal ob es den Virus überhaupt gibt.
Der Virus soll in diesem Regestry schlüssel sein:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

Könntet ihr mein PC auf Viren überprüfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:36, on 17.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\SiteAdvisor\6172\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SiteAdvisor\6172\SiteAdv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Benni\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6172\SiteAdv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.alice-dsl.de
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5365 bytes

Alt 18.11.2007, 09:40   #2
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p


Hallo, das klingt übel. Bestätigt sich der Verdacht, ist eine Bereinigung ausgeschlossen. Auch wenn sich rootkit und Backdoor prinzipiell entfernen lassen, bleibt deine Kiste kompromittiert.

Starte im abgesicherten Modus neu und gib in der Eingabeaufforderung (Ausführen -> "cmd") ein:

cd\ -> Enter
reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt

und poste den Inhalt von C:\rdriv.txt

Grüße
__________________
Alt 18.11.2007, 12:04   #3
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p


Ich hab im abgesicherten Modus gestartet und in der Eingabeaufforderung eigeben

cd\ und dann enter gedrückt

Dann hab ich
reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt

eingegeben.

Dann sagt er:
Fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden.
__________________
Alt 18.11.2007, 12:25   #4
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p


hmm, das ist blöd, dabei hätte ich wetten können...

Nun gut, suche auf deinem Computer nach rdriv.sys oder rdriv.* und probiere im abgesicherten Modus, die Datei auf den Desktop zu kopieren und in rdriv.ren umzubenennen. Kann gut sein, dass auch das nicht funzt. Wenn es aber funktioniert, starte neu und lade die Datei zur Überprüfung bei virustotal.com hoch und poste die Funde incl. md5 und sh1-Werten.

In diesem Fall mache mal einen scan mit combofix und gmer. Speicher den Report von GMER an einem Ort, wo du ihn wieder findest und poste ihn und das combofix-log. Sollte das gmer-log zu groß sein, hoste es zB bei file-upload.net.

Alt 18.11.2007, 12:35   #5
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p


Ich hab bei Suche rdriv.sys eingegeben und er findet nichts.
Ich hab auch ein Hacken bei Versteckte Elemente durchsuchen gemacht.

Ich mach dann mit Combofix weiter.
Soll ich bei GMER unten 1.0.13 downloaden?


Alt 18.11.2007, 12:39   #6
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p


Yep. Wie gesagt, das ist eine hartnäckige Sache. Die Aktion hier dient auch nicht der Bereinigung, sondern soll nur den Fund bestätigen.

Alt 18.11.2007, 12:39   #7
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p


Ich hab combofix gedownloadet und gestartet dann sagt er irgent was dass die kopie zu alt ist.

Antwort

Themen zu Rootkit.Win32.Agent.p
antispyware, antivir, avira, bho, dateien, desktop, einstellungen, explorer, firefox, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, monitor, mozilla, mozilla firefox, programme, s-1-5-18, siteadvisor, software, system, trend micro, viren, virus, windows, windows xp


« Trojaner!! aber wo? | computer lahm, trojaner teilweise entfernt »


Ähnliche Themen: Rootkit.Win32.Agent.p


  1. PC langsam, hängt sich beim Surfen auf, Bluescreen, Advanced System Protector, Win32:Dropper-gen, Win32:Malware-gen, Win32:Rootkit-gen u.a.
    Log-Analyse und Auswertung - 07.02.2015 (12)
  2. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  3. Rootkit.Win32.Agent.pp.
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (2)
  4. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  5. rootkit.win32.agent.besn und mehr im system32
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (20)
  6. Rootkit.Win32.Agent.besn in system32\drivers\aec.sys / syspck32 im Autostart
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (8)
  7. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  8. TROJANER meldet ständig über Pop-Up "rootkit win32 Agent pp"
    Log-Analyse und Auswertung - 08.12.2009 (1)
  9. win32.rootkit.agent - Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (6)
  10. Win32/Rootkit.Agent.ODG weiterhin nicht zu erwischen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2009 (21)
  11. win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (59)
  12. Win32/Rootkit.Agent.ODG Trojaner --- wie bekomm ich den weg?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (3)
  13. Win32/Rootkit.Agent.Odg entfernt - Überprüfung des HJT-Logs
    Log-Analyse und Auswertung - 05.07.2009 (1)
  14. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  15. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)
  16. Rootkit.Win32.Agent.q....bitte hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit.Win32.Agent.p - Hallo! Arovax AntiSpyware hat Rootkit.Win32.Agent.p gefunden. Aber er kann nicht gelöscht werden. Ich weis noch nicht mal ob es den Virus überhaupt gibt. Der Virus soll in diesem Regestry schlüssel - Rootkit.Win32.Agent.p...
Archiv
Du betrachtest: Rootkit.Win32.Agent.p auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19