Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.12.2007, 21:55   #1
ThomasBonn
 
Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee) - Standard

Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)



Hallo zusammen,
seit gestern booted mein Rechner (Win XP SP2) etwas langsamer und ich bekomme folgende McAfee-Meldung:
VirusScan-Warnung!
Pfad: C:\WINDOWS\system32\drivers\smtpdrv.sys
Erkannt als Generic.dx
Anwendung svchost.exe

Folgende Beobachtungen im Task-Manager:
- ein sehr aktiver svchost.exe Task
- 2-3 iexplore.exe Tasks, obwohl der IE nicht sichtbar aktiv ist. Schließt man diese, bekommt man eine PopUp-Fehlermeldung von der Microsoft Visual C++ Runtime Libary.

McAfee verschiebt/löscht diese Datei zwar, nach einem Neustart ist diese aber wieder vorhanden.

Ein McAfee-Plattenscan brachte keine Ergebnisse.
Vorsichtshalber habe ich die SMTP-Ports (McAfee) und den IE (ZoneArlarm) blockiert.
Ich denke, es handelt sich hierbei um diesem Trojaner:
http://www.threatexpert.com/report.aspx?uid=38f73d4a-ef73-416b-a5c2-59b2d0a1ac83

Das hijackthis-LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:27, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\Sound Blaster X-Fi\Entertainment Center\EAXLoadr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\admin\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = ftp://***/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 57.**.***.***:8080
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F87587AB-18BA-4B46-82EE-BC86A8E0AB78}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = nds.dlh.de,clh.cgn.dlh.de,cns.fra.dlh.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = nds.dlh.de,clh.cgn.dlh.de,cns.fra.dlh.de
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6896 bytes

Wie werde ich diesen Trojaner wieder los ??

Vielen Dank im Voraus und einen guten Rutsch ins Jahr 2008

Thomas

Antwort

Themen zu Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)
adobe, bho, c:\windows\temp, desktop, drivers, einstellungen, error, excel, explorer, ftp, generic.dx, handel, hijack, hkus\s-1-5-18, iexplore.exe, internet, internet explorer, kaspersky, microsoft, monitor, neustart, nicht sichtbar, programme, s-1-5-18, software, spyware, system, task-manager, temp, trend micro, trojaner, urlsearchhook, windows, windows xp, windows\system32\drivers, windows\temp



Ähnliche Themen: Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)


  1. Win 7: Es fing mit dem worm.win32.generic an
    Log-Analyse und Auswertung - 08.07.2015 (15)
  2. Windows 8.1: Kaspersky meldet HEUR:Trojan.Win32.Generic
    Log-Analyse und Auswertung - 21.06.2014 (7)
  3. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  4. Kaspersky hat HEUR:Trojan.Win32.Generic gefunden
    Plagegeister aller Art und deren Bekämpfung - 08.11.2013 (15)
  5. Generic Host Process for Win32 Services hat ein Problem festgestellt = W32/Generic.worm!p2p
    Log-Analyse und Auswertung - 06.09.2011 (25)
  6. Kaspersky zeigt HEUR.Worm.Win32.Generic als Bedrohung an
    Plagegeister aller Art und deren Bekämpfung - 28.03.2011 (32)
  7. Kaspersky meldet Malwarefund HEUR:Worm.Win32.Generic
    Plagegeister aller Art und deren Bekämpfung - 27.03.2011 (25)
  8. HEUR:Trojan.Win32.Generic (Modifikation) Meldung von Kaspersky.
    Log-Analyse und Auswertung - 14.02.2011 (1)
  9. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  10. Email Worm Win32.Luder.e
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (10)
  11. Email-Worm.Win32.Warezov.nd
    Plagegeister aller Art und deren Bekämpfung - 22.10.2007 (34)
  12. "Email-Worm.Win32.Luder.a“ - - beseitigt?
    Plagegeister aller Art und deren Bekämpfung - 09.04.2007 (7)
  13. EMail-Worm.Win32.Zhelatin.al via icq bekommen
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (6)
  14. Email-Worm.Win32.Warezov
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  15. Wie bekomme ich den Email-Worm.Win32.warezov.gen weg???
    Plagegeister aller Art und deren Bekämpfung - 28.11.2006 (1)
  16. Email-Worm Win32 Bagle.pac - Logfile
    Mülltonne - 21.11.2005 (1)
  17. Email-Worm.Win32.Sober.p
    Plagegeister aller Art und deren Bekämpfung - 05.05.2005 (9)

Zum Thema Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee) - Hallo zusammen, seit gestern booted mein Rechner (Win XP SP2) etwas langsamer und ich bekomme folgende McAfee-Meldung: VirusScan-Warnung! Pfad: C:\WINDOWS\system32\drivers\smtpdrv.sys Erkannt als Generic.dx Anwendung svchost.exe Folgende Beobachtungen im Task-Manager: - - Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee)...
Archiv
Du betrachtest: Email-Worm.Win32.Agent.l (Kaspersky Lab), Generic.dx (McAfee) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.