Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Win32:Agent-UBX(Trj)

Win32:Agent-UBX(Trj)


Plagegeister aller Art und deren Bekämpfung: Win32:Agent-UBX(Trj)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.04.2008, 22:02   #1
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


hallo!

avast hat heute beim starten des rechners folgenden trojaner gefunden win32:agent-ubx(trj).

dateiname usw. siehe bild.

den trojaner konnte ich in den virus container verschieben.

ich konnte bis jetzt noch keine einschränkungen meines systems feststellen.

wie soll ich am besten mit dem trojaner weiter verfahren?
was hat er in meinem system angestellt?

im www oder in der suchfunktion habe ich keine beiträge zu dem trojaner gefunden. (zumindest auf deutsch)


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:27, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Download\virensucher\HiJackThis202.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garnelenforum.de/board/cmps_index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10720 bytes
Code:
ATTFilter
iclean log 03.04.2008 22:53:11

Windows XP SP2, Using advanced Kernel functions

Processes
---------
572 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
620 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
652 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
696 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
708 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
880 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
900 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1004 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1120 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1208 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1232 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1344 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1472 - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (Signed)
1572 - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe - avast! Antivirus updating service (Signed)
1632 - C:\Programme\Alwil Software\Avast4\ashServ.exe - avast! antivirus service (Signed)
1764 - C:\WINDOWS\Explorer.EXE - Windows Explorer
1920 - C:\WINDOWS\RTHDCPL.EXE - Realtek HD Audio Control Panel
116 - C:\Programme\Java\jre1.6.0_05\bin\jusched.exe - Java(TM) Platform SE binary (Signed)
(Hidden) 128 - C:\Acer\Empowering Technology\eRecovery\Monitor.exe - Monitor
216 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
432 - C:\WINDOWS\AGRSMMSG.exe - SoftModem Messaging Applet
500 - C:\Programme\QuickTime\qttask.exe - C:\Programme\QuickTime\qttask.exe
352 - AspireService.e - AspireService.e
608 - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE - EPSON Status Monitor 3
952 - C:\Programme\ICQLite\ICQLite.exe - ICQLite (Signed)
1068 - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe - avast! service GUI component (Signed)
1240 - C:\Programme\a-squared Anti-Dialer\a2adguard.exe - a-squared Anti-Dialer Guard
1284 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
1216 - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe - Catalyst Control Center: Monitoring program
1324 - C:\Programme\a-squared Anti-Dialer\a2service.exe - a-squared Service (Signed)
1332 - GoogleToolbarNo - GoogleToolbarNo
1540 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
1676 - C:\WINDOWS\system32\PnkBstrA.exe - C:\WINDOWS\system32\PnkBstrA.exe (Signed)
2016 - C:\WINDOWS\system32\PnkBstrB.exe - C:\WINDOWS\system32\PnkBstrB.exe (Signed)
2072 - C:\Programme\Electronic Arts\EADM\Core.exe - EA Download Manager
2144 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2708 - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe - avast! e-Mail Scanner Service (Signed)
2788 - C:\Programme\Alwil Software\Avast4\ashWebSv.exe - avast! Web Scanner (Signed)
3328 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3896 - C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe - Catalyst Control Centre: Host application
992 - C:\Programme\Alwil Software\Avast4\ashSimpl.exe - Virus scanner (Signed)
2240 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
3164 - C:\Programme\Alwil Software\Avast4\ashChest.exe - aswChestInterface application (Signed)
1672 - D:\Download\virensucher\iclean.exe - Interactive Cleaner

Services
--------
c:\programme\a-squared anti-dialer\a2service.exe=a2AntiDialer
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\alwil software\avast4\aswupdsv.exe=aswUpdSv
C:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\alwil software\avast4\ashserv.exe=avast! Antivirus
c:\programme\alwil software\avast4\ashmaisv.exe=avast! Mail Scanner
c:\programme\alwil software\avast4\ashwebsv.exe=avast! Web Scanner
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\pnkbstra.exe=PnkBstrA
c:\windows\system32\pnkbstrb.exe=PnkBstrB
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
c:\programme\gemeinsame dateien\symantec shared\ccpd-lc\symlcsvc.exe=Symantec Core LC
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: EA Core="c:\programme\electronic arts\eadm\core.exe" -silent
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKCU\Run: swg=c:\programme\google\googletoolbarnotifier\googletoolbarnotifier.exe
000=HKLM\Run: AGRSMMSG=c:\windows\agrsmmsg.exe
000=HKLM\Run: Alcmtr=c:\windows\alcmtr.exe
000=HKLM\Run: AspireService=c:\programme\acer\acer emode management\aspireservice.exe
000=HKLM\Run: a-squared="c:\programme\a-squared anti-dialer\a2adguard.exe"
000=HKLM\Run: avast!=c:\progra~1\alwils~1\avast4\ashdisp.exe
000=HKLM\Run: EPSON Stylus DX4200 Series=c:\windows\system32\spool\drivers\w32x86\3\e_fatiaee.exe /p26 "epson stylus dx4200 series" /o6 "usb001" /m "stylus dx4200"
000=HKLM\Run: eRecoveryService=c:\acer\empowering technology\erecovery\monitor.exe
000=HKLM\Run: High Definition Audio Property Page Shortcut=c:\windows\system32\hdashcut.exe
000=HKLM\Run: ICQ Lite="c:\programme\icqlite\icqlite.exe" -minimize
000=HKLM\Run: IMJPMIG8.1="c:\windows\ime\imjp8_1\imjpmig.exe" /spoil /remadvdef /migration32
000=HKLM\Run: LaunchApp=alaunch
000=HKLM\Run: MSPY2002=c:\windows\system32\ime\pintlgnt\imscinst.exe
000=HKLM\Run: ntiMUI=c:\programme\newtech infosystems\nti cd & dvd-maker 7\ntimui.exe
000=HKLM\Run: PHIME2002A=c:\windows\system32\ime\tintlgnt\tintsetp.exe /imename
000=HKLM\Run: PHIME2002ASync=c:\windows\system32\ime\tintlgnt\tintsetp.exe /sync
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: RTHDCPL=c:\windows\rthdcpl.exe
000=HKLM\Run: StartCCC="c:\programme\ati technologies\ati.ace\core-static\clistart.exe"
000=HKLM\Run: SunJavaUpdateSched="c:\programme\java\jre1.6.0_05\bin\jusched.exe"
001=Firewall bypass: %windir%\Network Diagnostic\xpnetdiag.exe=c:\windows\network diagnostic\xpnetdiag.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\Acer\Acer eConsole\eConsole.exe=
001=Firewall bypass: C:\Programme\Acer\Acer eConsole\MediaServerService.exe=
001=Firewall bypass: C:\Programme\Acer\Acer eConsole\MediaSync.exe=
001=Firewall bypass: C:\Programme\EA GAMES\Battlefield 2\BF2.exe=c:\programme\ea games\battlefield 2\bf2.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Battlefield 2142 Server\BF2142VoipServer_w32ded.exe=c:\programme\electronic arts\battlefield 2142 server\bf2142voipserver_w32ded.exe
001=Firewall bypass: C:\Programme\Electronic Arts\Battlefield 2142\BF2142.exe=c:\programme\electronic arts\battlefield 2142\bf2142.exe
001=Firewall bypass: C:\Programme\FlashGet\flashget.exe=c:\programme\flashget\flashget.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe
001=Firewall bypass: C:\Programme\Ubisoft\DIE SIEDLER - Aufstieg eines Königreichs\base\bin\Settlers6.exe=c:\programme\ubisoft\die siedler - aufstieg eines königreichs\base\bin\settlers6.exe
001=Firewall bypass: C:\Programme\Winamp Remote\bin\Orb.exe=c:\programme\winamp remote\bin\orb.exe
001=Firewall bypass: C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe=c:\programme\winamp remote\bin\orbstreamerclient.exe
001=Firewall bypass: C:\Programme\Winamp Remote\bin\OrbTray.exe=c:\programme\winamp remote\bin\orbtray.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrA.exe=c:\windows\system32\pnkbstra.exe
001=Firewall bypass: C:\WINDOWS\system32\PnkBstrB.exe=c:\windows\system32\pnkbstrb.exe
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll
030=BHO: {22BF413B-C6D2-4d91-82A9-A0F997BA588C}=c:\progra~1\skype\phone\ieplugin\skypei~1.dll (Skype add-on (mastermind))
030=BHO: {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}=c:\programme\flashget\jccatch.dll (FGCatchUrl)
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=c:\programme\java\jre1.6.0_05\bin\ssv.dll (SSVHelper Class)
030=BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar4.dll (Google Toolbar Helper)
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.0.301.7164\swg.dll (Google Toolbar Notifier BHO)
030=BHO: {D187A56B-A33F-4CBE-9D77-459FC0BAE012}=c:\programme\burn4free toolbar\v3.3.0.1\burn4free_toolbar.dll (Burn4Free Toolbar Helper)
030=BHO: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}=c:\programme\epson\epson web-to-page\epson web-to-page.dll (EpsonToolBandKicker Class)
030=BHO: {F156768E-81EF-470C-9057-481BA8380DBA}=c:\programme\flashget\getflash.dll (FlashGet GetFlash Class)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar4.dll
031=Toolbar: {4F11ACBB-393F-4C86-A214-FF3D0D155CC3}=c:\programme\burn4free toolbar\v3.3.0.1\burn4free_toolbar.dll
031=Toolbar: {EE5D279F-081B-4404-994D-C6B60AAEBA6D}=c:\programme\epson\epson web-to-page\epson web-to-page.dll
031=Toolbar: {F2CF5485-4E02-4F68-819C-B92DE9277049}=c:\windows\system32\ieframe.dll
031=Toolbar: ITBar7Layout=(null)
031=Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F}=c:\programme\google\googletoolbar4.dll
031=Toolbar: {4F11ACBB-393F-4C86-A214-FF3D0D155CC3}=c:\programme\burn4free toolbar\v3.3.0.1\burn4free_toolbar.dll
031=Toolbar: {EE5D279F-081B-4404-994D-C6B60AAEBA6D}=c:\programme\epson\epson web-to-page\epson web-to-page.dll
ich hoffe keine angaben vergessen zu haben.

über eure hilfe freut sich urmel
Miniaturansicht angehängter Grafiken
Win32:Agent-UBX(Trj)-unbenannt.jpg  

Alt 04.04.2008, 04:14   #2
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


guten morgen,

ich hab jetzt escan über die nacht laufen lassen und der hat folgendes ausgespuckt.

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.4.4 
Sprache: German 
Virus-Datenbank Datum: 4/3/2008  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. 
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 D:\Download\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 168067 
 Gefundene Viren: 6 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 14 
 Dauer des Scans bisher: 01:28:08 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart:  5:09:36,51 
Batchende:  5:09:44,62
__________________
Alt 04.04.2008, 16:21   #3
virus
Gast
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


Hi Urmel

Bitte lass die gefundenen dateien löschen
Nun bitte Malwarebytes laufen lassen (link in Signatur) und den Report posten.
Danch bitte ComboFix anwenden vorher aber CCleaner laufen lassen. Report von ComboFix bitte posten.
__________________
Alt 05.04.2008, 00:23   #4
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


hi,

ich hab vor deiner nachricht, selber nochmal gegoogelt und raus gefunden das mein trojaner vom FlashGet 1.9 verbreitet Trojaner ist.

darauf hin hab ich das programm gelöscht in der auch die nachfolgende datei enthalten war (inapp6.exe)
>>>>>>>>Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe<<<<<<<<


>>>>>>>>Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll<<<<<<<<
hat avast erkannt und in den kontainer verfrachtet. ich habs dann gelöscht.

die datei (msfont.dll) im virenkontainer von "avast" hab ich gelöscht, ist aber irgendwie wieder aufgetaucht und läßt sich jetzt nicht mehr löschen.

nach dem löschvorgang hab ich escan im abgesicheten modus nochmal laufen lassen. auswertung ist unten aufgeführt.
als ich dann in den normalen modus gewechselt hab, kamen fehlermeldungen das aktiv x beendet wurde weil ein programm(name wurde nicht angezeigt) es jetzt verwendet, genauso war java betroffen. seit dem starten die programme langsamer oder garnicht mehr.

so dann hab ich deine liste abgearbeitet.

malwarebyet hat einwandfrei funktioniert, nur combofix lief nur im abgesicherten modus, denn im normalmodus ist es einfach stehen geblieben.


Code:
ATTFilter
Malwarebytes' Anti-Malware 1.10
Datenbank Version: 589

Scan Art: Komplett Scan (C:\|D:\|G:\|H:\|I:\|J:\|)
Objekte gescannt: 154738
Scan Dauer: 1 hour(s), 6 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Code:
ATTFilter
ComboFix 08-04-03.5 - Administrator 2008-04-05  0:14:42.2 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1278 [GMT 2:00]
ausgeführt von:: D:\Download\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-04 bis 2008-04-04  ))))))))))))))))))))))))))))))
.

2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-04 19:38 . 2008-04-04 19:38	<DIR>	d--------	C:\ComboFix(2)
2008-04-04 15:18 . 2008-04-04 15:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-04-04 15:03 . 2008-04-04 15:04	25,600	--a------	C:\WINDOWS\system32\msfont.dll
2008-04-03 21:42 . 2008-03-29 19:31	75,856	--a------	C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-03 21:42 . 2008-03-29 19:35	20,560	--a------	C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-03-29 03:21 . 2008-03-29 03:21	<DIR>	d--------	C:\Programme\PC Inspector File Recovery
2008-03-29 03:21 . 2002-02-18 19:40	6,200	--a------	C:\WINDOWS\system32\INT13EXT.VXD
2008-03-11 23:27 . 2008-03-11 23:27	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-11 23:26 . 2008-03-11 23:26	0	--a------	C:\WINDOWS\ativpsrm.bin
2008-03-11 23:21 . 2008-02-25 22:05	593,920	---------	C:\WINDOWS\system32\ati2sgag.exe
2008-03-11 22:22 . 2007-12-04 16:44	23,600	--a------	C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-03-10 00:57 . 2008-03-10 00:56	691,545	--a------	C:\WINDOWS\unins000.exe
2008-03-10 00:57 . 2008-03-10 00:57	2,553	--a------	C:\WINDOWS\unins000.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 12:34	---------	d-----w	C:\Programme\a-squared Anti-Dialer
2008-04-02 12:16	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-02 12:15	107,832	----a-w	C:\WINDOWS\system32\PnkBstrB.exe
2008-03-29 17:45	1,146,232	----a-w	C:\WINDOWS\system32\aswBoot.exe
2008-03-29 17:35	94,544	----a-w	C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-29 17:29	23,152	----a-w	C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-29 17:27	42,912	----a-w	C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-29 17:26	26,944	----a-w	C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-29 17:23	95,608	----a-w	C:\WINDOWS\system32\AvastSS.scr
2008-03-29 01:21	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-29 01:06	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\ATI
2008-03-28 22:12	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\teamspeak2
2008-03-28 12:33	---------	d-----w	C:\Programme\Winamp
2008-03-11 21:23	---------	d-----w	C:\Programme\ATI Technologies
2008-03-09 23:04	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-09 23:03	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-03-05 07:29	---------	d-----w	C:\Programme\Java
2008-03-03 03:12	---------	d-----w	C:\Programme\Lavalys
2008-03-03 01:14	---------	d-----w	C:\Programme\Driver Cleaner Pro
2008-02-29 00:24	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\SystemXXL
2008-02-26 05:51	2,863,616	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-02-26 05:51	2,863,616	----a-w	C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-02-26 03:12	372,736	----a-w	C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10	307,200	----a-w	C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10	299,520	----a-w	C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:10	299,520	----a-w	C:\WINDOWS\system32\ati2dvag(2)(2).dll
2008-02-26 03:02	172,032	----a-w	C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02	126,976	----a-w	C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01	43,520	----a-w	C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01	26,112	----a-w	C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01	126,976	----a-w	C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:01	126,976	----a-w	C:\WINDOWS\system32\ati2evxx(2)(2).dll
2008-02-26 03:00	520,192	----a-w	C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59	9,797,632	----a-w	C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58	53,248	----a-w	C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49	3,176,480	----a-w	C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:49	3,176,480	----a-w	C:\WINDOWS\system32\ati3duag(2)(2).dll
2008-02-26 02:41	1,755,264	----a-w	C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:41	1,755,264	----a-w	C:\WINDOWS\system32\ativvaxx(2)(2).dll
2008-02-26 02:29	46,080	----a-w	C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25	393,216	----a-w	C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:25	393,216	----a-w	C:\WINDOWS\system32\atikvmag(2)(2).dll
2008-02-26 02:23	17,408	----a-w	C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:22	49,152	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll
2008-02-26 02:19	167,936	----a-w	C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:19	167,936	----a-w	C:\WINDOWS\system32\atiok3x2(2)(2).dll
2008-02-26 02:16	520,192	----a-w	C:\WINDOWS\system32\ati2cqag.dll
2008-02-26 02:16	520,192	----a-w	C:\WINDOWS\system32\ati2cqag(2)(2).dll
2008-02-12 10:32	---------	d-----w	C:\Programme\PartyGaming
2008-01-11 05:32	44,544	----a-w	C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-09-29 22:40	22,328	----a-w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2006-10-07 17:50	0	----a-w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2007-12-31 18:58	806912	--a------	C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912]

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Acer Media Server"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00]
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
S2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56]
S2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]

*Newly Created Service* - INT15.SYS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-05 00:16:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Zeit der Fertigstellung: 2008-04-05  0:16:56
ComboFix-quarantined-files.txt  2008-04-04 22:16:54
              24 Verzeichnis(se), 77,125,013,504 Bytes frei
              26 Verzeichnis(se), 77,112,594,432 Bytes frei
.
2008-03-29 01:11:25	--- E O F ---



Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.4.4 
Sprache: German 
Virus-Datenbank Datum: 4/4/2008  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with mirar Spyware/Adware (hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. 
 System found infected with backdoor (ircbot) trojans Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0039243.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\WINDOWS\system32\msmmas.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 D:\Download\cpu-z-144.1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 168310 
 Gefundene Viren: 10 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 13 
 Dauer des Scans bisher: 01:28:27 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 23:54:48,34 
Batchende: 23:55:22,68

Alt 05.04.2008, 11:13   #5
virus
Gast
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


morgen urmel

Bitte lösche nicht einfach dateien von denen du nicht weisst was sie sind löschen ist nicht = löschen

C:\system volume information........ kannst du einfach mit dem deaktivieren der Systemwiederherstellung wegbringen
Dafür gehst du mit rechtsklick auf den Arbeitsplatz wählst dort Eigenschaften und dann Systemwiederherstellung deaktivieren das häcklein setzen neustarten und das häcklein wieder herausnehmen.

Bitte folgende dateien hier oder hier online scannen lassen(report bitte posten):

C:\WINDOWS\system32\drivers\aswSP.sys
C:\WINDOWS\system32\drivers\aswFsBlk.sys
C:\WINDOWS\system32\aswBoot.exe
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

eScan hat diese datein ja als Malware erkannt also lösche diese bitte

Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0039243.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus.

Bitte wende auch noch CCleaner an

Geändert von virus (05.04.2008 um 11:39 Uhr)

Alt 05.04.2008, 11:38   #6
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


Zitat:
Bitte lösche nicht einfach dateien von denen du nicht weisst was sie sind löschen ist nicht = löschen
oh, naja ich hab nur befolgt was du mir geschrieben hast. siehe hier
Zitat:
Bitte lass die gefundenen dateien löschen
kann sein das ich das falsch verstanden hab.

so dann mach ich mich mal gleich an die anderen aufgaben.

gruß

Alt 07.04.2008, 11:34   #7
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


hallo,

heute ist schon die erste meldung gekommen.

Code:
ATTFilter
Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC00136272.



Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:

Datei ID  Dateiname  Größe (Byte) Ergebnis 
3809672  msmmas.dll  6 KB  DAMAGED FILE (UNKNOWN) 


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:

 Dateiname Ergebnis 
 msmmas.dll  DAMAGED FILE (UNKNOWN) 

Die Datei 'msmmas.dll' wurde als 'DAMAGED FILE (UNKNOWN)' eingestuft.
Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. 
Wir konnten keinen gefährlichen Inhalte finden. Es ist möglich, dass das Heuristik-Modul 
diese Datei erkennt obwohl es sich hierbei um eine 
nicht lauffähige Datei handelt. In diesem Fall werden wir die Erkennung des 
Produkts nicht enternen.
>>>>In diesem Fall werden wir die Erkennung des
Produkts nicht enternen.<<<<<

verstehe nicht was genau damit gemeint ist.

gruß

Alt 07.04.2008, 19:07   #8
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


hallo,

ich bin grad mal durch "regedit" gegangen um nach diesen dateien/einträgen zu suchen (vom escanlog)

Offending Key found: HKCU\Software\kazaa !!!

Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

Offending Key found:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com

hklm\software\microsoft\windows\currentversion\run/icq lite

ich habe alle gefunden, wäre es nicht besser diese zu löschen? also in der registrierung.

was mich wundert ist, dass ich "kazaa" nie auf meinem system installiert hatte.

Alt 08.04.2008, 06:07   #9
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


moin allerseits,

so ich hab heute nochmal auf die links geschaut die ich von avast bzw. avira bekommen habe.
auf bei den war die oben(zwei vorher) genannte meldung zu lesen.

wie machen wir jetzt weiter?

gruß

Alt 08.04.2008, 15:09   #10
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


mittlerweile bekomme ich beim versuche den arbeitsplatz oder den windows-explorer die meldung

>>>>rundll
fehler c:\windows\system32/shell32.dll
unzulässiger zugriff auf einen Speicherbereich<<<<

nach dem neustart des pc´s ist alles wieder in ordnung, bis er einige zeit gelaufen ist. dann geht das selbe wieder von vorne los.

des weiteren werden die sicherheitseinstellungen für das internet verstellt. ich stell sie wieder richtig ein. nach dem dritten oder vierten computerneustart sind sie wieder verstellt.

gruß

Alt 08.04.2008, 18:07   #11
Sunny
Administrator
> Competence Manager
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


Um hier mal eine gewisse Übersicht zu bekommen, mach bitte mal folgendes:



Erstellung eines Hijacklog
  • Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick auf die Datei mit der rechten Maustaste -> umbenennen)
  • Starte nun mit Doppelklick auf This.exe
  • Klicke auf den Button "Do a system scan and save a log file"
  • Nach der Überprüfung öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag hier Forum ein




ComboFix
  • Lade dir das Tool hier herunter -> KLICK
  • Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 08.04.2008, 19:16   #12
Urmel
 
Win32:Agent-UBX(Trj) - Standard

Win32:Agent-UBX(Trj)


hallo,

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:00, on 08.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Electronic Arts\EADM\Core.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
D:\Download\virensucher neu\This.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8657 bytes

combofix läuft nicht mehr, bzw. läßt sich nicht starten auch nicht im abgesicheten modus.

habe nur den log von gestern zur hand, wenn der dir auch reicht,
hatte da combofix auf eigene faust nochmal rüber laufen lassen.

Code:
ATTFilter
ComboFix 08-04-03.5 - Andreas 2008-04-07 13:55:39.4 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1062 [GMT 2:00]
ausgeführt von:: D:\Download\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
TimedOut: progfile.dat 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((   Dateien erstellt von 2008-03-07 bis 2008-04-07  ))))))))))))))))))))))))))))))
.

2008-04-07 13:54 . 2008-04-07 13:54	<DIR>	d--------	C:\ComboFix(2)
2008-04-05 22:50 . 2008-04-05 22:50	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-04-05 22:50 . 2008-04-05 22:50	1,409	--a------	C:\WINDOWS\QTFont.for
2008-04-05 15:53 . 2007-09-05 23:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-04-05 15:53 . 2006-04-27 16:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-04-05 15:53 . 2008-03-28 23:19	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-04-05 15:53 . 2008-03-26 08:50	82,432	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-04-05 15:53 . 2003-06-05 20:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-04-05 15:53 . 2004-07-31 17:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-04-05 15:53 . 2007-10-03 23:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-04-05 15:47 . 2008-04-05 23:42	3,848	--a------	C:\WINDOWS\system32\tmp.reg
2008-04-05 00:23 . 2008-04-05 00:23	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2008-04-04 19:40 . 2008-04-04 19:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-04 15:18 . 2008-04-04 15:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-04-03 21:42 . 2008-03-29 19:31	75,856	--a------	C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-03 21:42 . 2008-03-29 19:35	20,560	--a------	C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-03-29 03:21 . 2008-03-29 03:21	<DIR>	d--------	C:\Programme\PC Inspector File Recovery
2008-03-29 03:21 . 2002-02-18 19:40	6,200	--a------	C:\WINDOWS\system32\INT13EXT.VXD
2008-03-11 23:27 . 2008-03-11 23:27	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-11 23:26 . 2008-03-11 23:26	0	--a------	C:\WINDOWS\ativpsrm.bin
2008-03-11 23:21 . 2008-02-25 22:05	593,920	---------	C:\WINDOWS\system32\ati2sgag.exe
2008-03-11 22:22 . 2007-12-04 16:44	23,600	--a------	C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-03-10 00:57 . 2008-03-10 00:56	691,545	--a------	C:\WINDOWS\unins000.exe
2008-03-10 00:57 . 2008-03-10 00:57	2,553	--a------	C:\WINDOWS\unins000.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 12:34	---------	d-----w	C:\Programme\a-squared Anti-Dialer
2008-04-02 12:16	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-04-02 12:15	107,832	----a-w	C:\WINDOWS\system32\PnkBstrB.exe
2008-03-29 17:45	1,146,232	----a-w	C:\WINDOWS\system32\aswBoot.exe
2008-03-29 17:35	94,544	----a-w	C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-29 17:29	23,152	----a-w	C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-29 17:27	42,912	----a-w	C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-29 17:26	26,944	----a-w	C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-29 17:23	95,608	----a-w	C:\WINDOWS\system32\AvastSS.scr
2008-03-29 01:21	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-29 01:06	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\ATI
2008-03-28 22:12	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\teamspeak2
2008-03-28 12:33	---------	d-----w	C:\Programme\Winamp
2008-03-11 21:23	---------	d-----w	C:\Programme\ATI Technologies
2008-03-09 23:04	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-09 23:03	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-03-05 07:29	---------	d-----w	C:\Programme\Java
2008-03-03 03:12	---------	d-----w	C:\Programme\Lavalys
2008-03-03 01:14	---------	d-----w	C:\Programme\Driver Cleaner Pro
2008-02-29 00:24	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\SystemXXL
2008-02-26 05:51	2,863,616	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-02-26 05:51	2,863,616	----a-w	C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-02-26 03:12	372,736	----a-w	C:\WINDOWS\system32\ATIDEMGX.dll
2008-02-26 03:10	307,200	----a-w	C:\WINDOWS\system32\atiiiexx.dll
2008-02-26 03:10	299,520	----a-w	C:\WINDOWS\system32\ati2dvag.dll
2008-02-26 03:10	299,520	----a-w	C:\WINDOWS\system32\ati2dvag(2)(2).dll
2008-02-26 03:02	172,032	----a-w	C:\WINDOWS\system32\atipdlxx.dll
2008-02-26 03:02	126,976	----a-w	C:\WINDOWS\system32\Oemdspif.dll
2008-02-26 03:01	43,520	----a-w	C:\WINDOWS\system32\ati2edxx.dll
2008-02-26 03:01	26,112	----a-w	C:\WINDOWS\system32\Ati2mdxx.exe
2008-02-26 03:01	126,976	----a-w	C:\WINDOWS\system32\ati2evxx.dll
2008-02-26 03:01	126,976	----a-w	C:\WINDOWS\system32\ati2evxx(2)(2).dll
2008-02-26 03:00	520,192	----a-w	C:\WINDOWS\system32\ati2evxx.exe
2008-02-26 02:59	9,797,632	----a-w	C:\WINDOWS\system32\atioglx2.dll
2008-02-26 02:58	53,248	----a-w	C:\WINDOWS\system32\ATIDDC.DLL
2008-02-26 02:49	3,176,480	----a-w	C:\WINDOWS\system32\ati3duag.dll
2008-02-26 02:49	3,176,480	----a-w	C:\WINDOWS\system32\ati3duag(2)(2).dll
2008-02-26 02:41	1,755,264	----a-w	C:\WINDOWS\system32\ativvaxx.dll
2008-02-26 02:41	1,755,264	----a-w	C:\WINDOWS\system32\ativvaxx(2)(2).dll
2008-02-26 02:29	46,080	----a-w	C:\WINDOWS\system32\amdpcom32.dll
2008-02-26 02:25	393,216	----a-w	C:\WINDOWS\system32\atikvmag.dll
2008-02-26 02:25	393,216	----a-w	C:\WINDOWS\system32\atikvmag(2)(2).dll
2008-02-26 02:23	17,408	----a-w	C:\WINDOWS\system32\atitvo32.dll
2008-02-26 02:22	49,152	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll
2008-02-26 02:19	167,936	----a-w	C:\WINDOWS\system32\atiok3x2.dll
2008-02-26 02:19	167,936	----a-w	C:\WINDOWS\system32\atiok3x2(2)(2).dll
2008-02-26 02:16	520,192	----a-w	C:\WINDOWS\system32\ati2cqag.dll
2008-02-26 02:16	520,192	----a-w	C:\WINDOWS\system32\ati2cqag(2)(2).dll
2008-02-12 10:32	---------	d-----w	C:\Programme\PartyGaming
2008-01-11 05:32	44,544	----a-w	C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-09-29 22:40	22,328	----a-w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2006-10-07 17:50	0	----a-w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((((   snapshot@2008-04-05_ 0.16.47,50   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-07 10:19:48	16,384	----atw	C:\WINDOWS\TEMP\Perflib_Perfdata_4e4.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2007-12-31 18:58	806912	--a------	C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912]

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [2007-12-31 18:58 806912]

[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 21:55 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"EA Core"="C:\Programme\Electronic Arts\EADM\Core.exe" [2007-12-04 06:57 2494464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe]
"ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168]
"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync]
--a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
--a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Acer Media Server"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"=
"C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []

*Newly Created Service* - INT15.SYS
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-07 13:57:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-07 13:57:57
ComboFix-quarantined-files.txt  2008-04-07 11:57:54
ComboFix2.txt  2008-04-04 22:16:57
              23 Verzeichnis(se), 76,920,963,072 Bytes frei
              25 Verzeichnis(se), 76,911,009,792 Bytes frei
.
2008-03-29 01:11:25	--- E O F ---
gruß

Antwort

Themen zu Win32:Agent-UBX(Trj)
add-on, adobe, antivirus, application, avast!, bho, control center, drivers, e-mail, einschränkungen, excel, explorer, firefox, firewall, generic host, generic host process, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, realtek, rojaner gefunden, shortcut, skype.exe, software, starten, symantec, systray, trojaner, trojaner gefunden, usb, virus, webcheck, windows, windows xp


« Wo ist es? BD deaktiviert lesezeichen gelöscht... plz help | Windows Security Alert »


Ähnliche Themen: Win32:Agent-UBX(Trj)


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Mehrere Viren gefuden: Win32.Adware.OfferMosquito.A und Win32.Trojan.Agent.KQF
    Log-Analyse und Auswertung - 19.09.2014 (23)
  3. Win32/openCandy + Win32.Trojan.Agent.C5K071 auf PC Win7/64bit
    Log-Analyse und Auswertung - 17.01.2014 (3)
  4. TR/Agent.10512429.1 und Win32/Agent.SZW trojan
    Plagegeister aller Art und deren Bekämpfung - 12.03.2013 (30)
  5. Win32.Agent.tdd / Win32.Delf.uv Trojaner
    Log-Analyse und Auswertung - 15.06.2011 (3)
  6. nach spybot durchlauf... Win32.Agent.ieu, Win32.FraudLoad, Win32.PornPopup
    Log-Analyse und Auswertung - 08.08.2010 (3)
  7. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  8. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  9. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  10. Probleme mit Tr/win32.Tiny.h Tr/Win32.Agent.bq! Hilfe
    Mülltonne - 02.10.2008 (0)
  11. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  12. Was sind Win32.Rungbu.a und Win32.Agent.frl
    Plagegeister aller Art und deren Bekämpfung - 18.07.2008 (0)
  13. Sind Win32.Agent.frl und Win32.Rungbu.a Schadprogramme???
    Mülltonne - 15.07.2008 (0)
  14. Trojaner-Verdacht: Win32:Agent-PBF + Win32:Zlob-AJG
    Log-Analyse und Auswertung - 05.01.2008 (1)
  15. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  16. Trojan-Clicker.Win32.Agent.ac / Bachdoor.Win32.PoeBot.a etc
    Plagegeister aller Art und deren Bekämpfung - 22.01.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Win32:Agent-UBX(Trj) - hallo! avast hat heute beim starten des rechners folgenden trojaner gefunden win32:agent-ubx(trj). dateiname usw. siehe bild. den trojaner konnte ich in den virus container verschieben. ich konnte bis jetzt noch - Win32:Agent-UBX(Trj)...
Archiv
Du betrachtest: Win32:Agent-UBX(Trj) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132