TR/VB.agt.4 entfernen

Freddixx · 30.06.2008, 09:43

Hallo Community,

ich habe mir den Trojaner TR/VB.agt.4 eingefangen. Allerdings nicht, weil ich so schlampig bin, sondern weil jemand meinte, er müsste mir einen USB-Stick mitbringen obwohl der eigene Rechner infiziert ist.

Soviel zur Vorgeschichte. Ich habe mich entsprechend informiert und bin zu dem Schluss gekommen, dass SDFix wohl das beste Entfernungstool wäre - bis ich gemerkt habe, dass dieses nur für Win2k und XP ist.

Also Pustekuchen mit meinem tollen Plan. AntiVir erkennt ihn zwar, kann ihn aber allen Anscheins nach nicht entfernen und Zonealarm bzw mein Router verhindern allenfalls, dass er nicht noch mehr Mist herunterlädt.

Dennoch muss eine Lösung her. Ich bin leider - wie viele Vista-User - nicht im Besitz einer RecoveryCD. Die wurde nicht mit meinem Laptop ausgeliefert. Also Windows zurücksetzen oder formatieren ist eine ganz schlechte Idee.. Abgesehen davon weiß ich nicht, ob ich mir beim Daten backuppen den Trojaner noch auf die externe Festplatte hole.

Ich habe übrigens Vista Home Premium, alle Updates sind installiert. Lediglich das Servicepack ist gerade ausstehend.

Hier das HijackThis Logfile, nach dem bestimmt gefragt wird:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:27, on 30.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Programme\Pidgin\pidgin.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\HTML Studio\bin\HTMLStudio.exe
C:\Windows\System32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Privoxy.lnk = C:\Program Files\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11563 bytes

So, bedanke mich im voraus für Hilfe. Gruß,
Fred

undoreal · 30.06.2008, 10:48

Hallöle und

Zitat:

Vista Home Premium, alle Updates sind installiert. Lediglich das Servicepack ist gerade ausstehend.

Das ist nicht besonders gut..

Aber wenigstens ist es dir bewusst.

Wo wurde der Trojaner gefunden?

Fixe bitte alle ........(no file) und ........(file missing) Einträge mit Hijackthis.

Freddixx · 30.06.2008, 11:15

Ist erledigt.

Das File wird ausschließlich auf meinem Handy gefunden. Warum? Zum Zeitpunkt, als der infizierte USB-Stick an meinem Rechner war, hatte ich mein Handy leider zum Aufladen angeschlossen (mit schneller Datenübertragung, sprich: Funktionalität wie ein USBStick). Entweder stößt mein Rechner auf keine infizierte Datei, sodass AntiVir nicht ausgelöst wird, oder aber der Trojaner hat sich tatsächlich auf Wechselmedien beschränkt.

Das mit dem Servicepack ist mir bewusst. Allerdings bin ich wirklich gut abgesichert. Die dortigen Sicherheitslücken sind für mich derzeit nicht relevant. Und das alles nützt nichts, wenn jemand, wie beschrieben mit einem infizierten Stick kommt und du es erst beim Ranstecken merkst.

Natürlich wird das SP noch installiert. Versteht sich ja von selbst. Nur hatte ich letzte Woche keine Zeit dazu.

Zurück zum Problem: Weitere Vorschläge?

undoreal · 30.06.2008, 11:50

Uff. Also mit Handy Software kenne ich mich nicht besonders gut aus.

Kannst du auf das Handy zugreifen wie auf einen USB Stick?

Gehe mal wie hier beschrieben wird vor.
http://www.trojaner-board.de/50076-h...tml#post325238

Freddixx · 30.06.2008, 11:57

Ja, habe ich auch beschrieben. Das Handy funktioniert in dem Modus wie ein ganz normaler Wechseldatenträger.

Ich schau mir deinen Link mal an.

Freddixx · 30.06.2008, 12:03

Hm, der Virus ähnelt nicht dem meinigen, außer, dass er vielleicht eine Autorun.inf nutzt. Die beschriebenen Prozesse habe ich auch nicht im Taskmanager finden können.

undoreal · 30.06.2008, 12:06

Ach man. Alles muss man hier haarklein erklären.. ^^

Natürlich ist das nicht der gleiche; aber er nutzt auch die autorun.inf. Und die sollst du bitte wie in dem Thread beschrieben wird suchen und löschen. Alle. Wenn eine übrig bleibt sitzt der gleich wieder überall.

Freddixx · 01.07.2008, 12:10

Darum gings ja nicht. Wie man ja vielleicht an meinem ersten Post unschwer bemerkt hat, bin ich kein Anfänger.

Aber die autorun.inf ist nunmal eine so häufige Datei, wie die setup.exe. Ich habe auf meinem PC gesucht und auch genug gefunden. Allerdings waren sämtliche Treffer von Programmen, die ich kenne und der Inhalt zeigte auch nichts auffälliges. Ich kann also davon ausgehen, dass mein PC sauber ist.

Über Google habe ich auch noch das hier gefunden:
Trojaner TR/VB.agt.4 ?? - Virus Hilfe

Wenn ich davon ausgehe, scheint er noch andere Dateien, als nur die Autorun.inf zu verteilen. Also versteh mich nicht falsch. Ich fand deinen Tip wirklich hilfreich - ich würde nur gern über das ganze potentielle Ausmaß dieses Trojaners Bescheid wissen. Und dazu hab ich noch nicht allzu viel gefunden.

undoreal · 01.07.2008, 12:44

Wenn du nicht sämtliche autorun.inf Dateien die sich auf deinem Rechner befinden löscht kann ich keine Garantie für irgendwas geben...

Freddixx · 01.07.2008, 14:27

Ich habe mir den Inhalt angesehen und sie gehören definitiv zu den Programmen, die ich bereits verwende. Sie unterscheiden sich deutlich von denen des Trojaners.

undoreal · 01.07.2008, 14:31

Oh man. Wenn du weiter disskutieren möchtest. Bitte. Aber dafür habe ich keine Zeit. Da warten andere TOs die Hilfe brauchen.

Die VBS Viren haben die dumme Angewohnheit sich in alles möglich einzuschreiben. Und da auszusortieren gleicht der berühmten Suche...

Wenn eine .inf übrig bleibt bringt die ganze Bereinigung nichts.

Freddixx · 02.07.2008, 00:36

Ah, jetzt nähern wir uns schon mal an. Genau DAS will ich ja wissen.. Mit welchen Dateinamen sich der Trojaner tarnt! Ich hab auf Google schon gesucht, ich finde schlicht und ergreifend kein Infosheet dafür. Daher suche ich ja hier Hilfe. Ich hatte gehofft, dass die Profis hier vllt. was über die Charakteristika des Trojaners wissen.

BataAlexander · 02.07.2008, 00:52

Arbeite bitte folgendes ab

1. Flashdisinfector

Flashdisinfector
[*]Lade Flash_Disinfector.exe und speichere es auf Deinen Desktop.
[*]Doppleklicke Flash_Disinfector.exe um es zu starten und folge den Anweisungen.
[*]Das Programm bittet Dich Flash Drives (USB Sticks/Festplatten) und alle entfernbaren Medien (auch Dein Handy) anzuschließen. Bitte mach dies und erlaube dem Programm diese Laufwerke auch zu reinigen.[*]Warte bis das Programm den Scan abgeschlossen hat und schließe das Programm dann.[*]Reboote Deinen Rechner wenn Du die obigen Punkte ausgeführt hast.[/list]

2. Dateien anzeigen lassen

Vistafindbat

- download von VistaFindbat. zip auf Deinen desktop
- öffne mit einem doppelklick die zip datein
- starte mit einem rechtsklick auf die datei vistafind.bat (als administrator starten) das stapelverarbeitungsprogramm
- Dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
- markiere den inhalt und füge in hier im forum in deinem beitrag ein.
wichtig: logfile bitte im tag (das Raute Symbol) posten
- formatiere nun Deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.

das sind alle verzeichnisse, die mit dieserVistaFind.bat ausgelesen werden. Verzeichnis von C:\
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\system
Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\Program Files\ --> hier alles posten
lösche die datei vistafind.txt

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

3. Systeminformationen mit DSS ermitteln

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als [CODE][/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Laufwerken.

Freddixx · 02.07.2008, 14:23

Hier die Log von VistaFind. Das Log vom DSS kommt noch, muss bloß leider erstmal weg.

Code:

ATTFilter

 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\

02.07.2008  15:12                 0 VistaFind.txt
02.07.2008  10:53     2.145.837.056 hiberfil.sys
02.07.2008  10:53     2.459.762.688 pagefile.sys
              17 Datei(en),  4.694.231.414 Bytes
               0 Verzeichnis(se), 33.742.782.464 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Windows

02.07.2008  14:11            67.584 bootstat.dat
02.07.2008  12:54         1.476.315 WindowsUpdate.log
02.07.2008  11:51            57.114 setupact.log
02.07.2008  01:39                12 bthservsdp.dat
19.06.2008  13:30       294.124.435 MEMORY.DMP
29.05.2008  09:54            69.472 PFRO.log
              90 Datei(en),    321.816.806 Bytes
               0 Verzeichnis(se), 33.742.778.368 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Windows\system

              22 Datei(en),        700.380 Bytes
               0 Verzeichnis(se), 33.742.778.368 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Windows\system32

02.07.2008  15:11             3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
02.07.2008  15:11             3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
02.07.2008  11:52           656.850 perfh009.dat
02.07.2008  11:52           121.446 perfc009.dat
02.07.2008  11:52           698.314 perfh007.dat
02.07.2008  11:52           140.232 perfc007.dat
02.07.2008  11:52         1.609.176 PerfStringBackup.INI
19.06.2008  09:12         1.805.304 FNTCACHE.DAT
30.05.2008  01:35        17.486.968 mrt.exe
            2584 Datei(en),  1.040.446.020 Bytes
               0 Verzeichnis(se), 33.742.589.952 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Users\Freddy\AppData\Local\Temp

02.07.2008  15:11            31.832 Freddy.bmp
02.07.2008  15:11               306 VistaFindbat.zip
02.07.2008  12:02                 0 trk1578.tmp
02.07.2008  12:01                 0 trkDF1C.tmp
02.07.2008  12:01                 0 trkD4AF.tmp
02.07.2008  12:01           675.860 WTD1B2.tmp
02.07.2008  12:01           766.656 WTD0B7.tmp
02.07.2008  11:08            67.021 Miro.log
02.07.2008  11:08               737 Miro-downloader.log
02.07.2008  11:08                 7 Miro_Download_Daemon_Freddy.txt
02.07.2008  10:59            57.356 jusched.log
02.07.2008  10:57            70.888 magick-.cQkG7Wu
02.07.2008  10:57            70.888 magick-27Tnayrg
02.07.2008  10:57           518.400 magick-VnWQ_krR
02.07.2008  10:57           518.400 magick-kFHbU5gw
02.07.2008  00:21            10.092 amt.log
02.07.2008  00:21            79.409 alm.log
01.07.2008  23:48               899 TWAIN.LOG
01.07.2008  23:48                 4 Twain001.Mtx
01.07.2008  23:48               156 Twunk001.MTX
01.07.2008  22:16                 0 trk8A57.tmp
01.07.2008  22:16                 0 trk88EF.tmp
01.07.2008  22:11            15.574 java_install_reg.log
01.07.2008  11:41                 0 trk2B3.tmp
01.07.2008  11:41                 0 trkD1E2.tmp
01.07.2008  11:41                 0 trkCFAF.tmp
01.07.2008  10:58         1.495.112 FlashPlayerUpdate01.exe
29.06.2008  23:24                 0 trkE6E2.tmp
29.06.2008  23:24                 0 trkDC08.tmp
28.06.2008  21:38                 0 trk1D44.tmp
28.06.2008  21:35                 0 trkAD03.tmp
28.06.2008  21:35                 0 trkAB6D.tmp
28.06.2008  08:10                 0 trkC4C8.tmp
28.06.2008  08:10                 0 trkA1DC.tmp
28.06.2008  08:10                 0 trkA075.tmp
27.06.2008  09:39                 0 trk6E21.tmp
27.06.2008  09:39                 0 trk6C6B.tmp
27.06.2008  09:39           675.860 WT68A3.tmp
27.06.2008  09:39           766.656 WT6799.tmp
27.06.2008  00:41                 0 trk137B.tmp
27.06.2008  00:41                 0 trk1148.tmp
24.06.2008  22:46                 0 trk847A.tmp
24.06.2008  22:46                 0 trk7A3C.tmp
23.06.2008  11:59             1.647 UserInfoSetup(20080623115915520).log
23.06.2008  11:59             3.720 SetupExe(20080623115913520).log
23.06.2008  11:59               134 7688181.od
23.06.2008  11:59                 0 CVR4FC6.tmp.cvr
21.06.2008  23:14                 0 trk1576.tmp
21.06.2008  23:14                 0 trkE54.tmp
21.06.2008  23:14                 0 trkCAE.tmp
21.06.2008  23:06             9.517 wmsetup.log
21.06.2008  11:22            17.400 UserInfoSetup(200806211122161298).log
21.06.2008  11:22             3.721 SetupExe(200806211122161298).log
21.06.2008  11:22            17.399 UserInfoSetup(20080621112201D58).log
21.06.2008  11:22             3.720 SetupExe(20080621112200D58).log
21.06.2008  11:21               134 7476722.od
21.06.2008  11:21                 0 CVR15F2.tmp.cvr
21.06.2008  11:21               134 7474850.od
21.06.2008  11:21                 0 CVRE63.tmp.cvr
20.06.2008  21:43                 0 trkB04F.tmp
20.06.2008  21:43                 0 trkA5C3.tmp
20.06.2008  21:43                 0 trkA45B.tmp
20.06.2008  17:18                 0 trk2969.tmp
20.06.2008  17:18                 0 trk1F0C.tmp
19.06.2008  16:55                 0 trk7ED3.tmp
19.06.2008  16:54                 0 trk4D76.tmp
19.06.2008  16:54                 0 trk4B72.tmp
18.06.2008  21:38                 0 trkA545.tmp
18.06.2008  20:52                 0 trk54F3.tmp
18.06.2008  20:52                 0 trk4A67.tmp
16.06.2008  23:30                 0 trk1A85.tmp
16.06.2008  23:30                 0 trk1008.tmp
15.06.2008  10:56                 0 trkBF9A.tmp
15.06.2008  10:56                 0 trkBCFA.tmp
13.06.2008  19:14            70.888 magick-WZkhhp0D
13.06.2008  19:14            70.888 magick-3FgWkseQ
13.06.2008  19:14           518.400 magick-rndCXl6u
13.06.2008  19:14           518.400 magick-g80UgD2l
09.06.2008  22:45         5.602.706 clipboardcache
05.06.2008  22:29            17.402 UserInfoSetup(200806052229071884).log
05.06.2008  22:29             3.727 SetupExe(200806052229061884).log
05.06.2008  22:28               134 143508408.od
05.06.2008  22:28                 0 CVRC1F4.tmp.cvr
05.06.2008  11:24                 0 trkA048.tmp
05.06.2008  11:15                 0 trk6A1B.tmp
05.06.2008  11:15                 0 trk68A3.tmp
03.06.2008  22:31                 0 trkCB3C.tmp
03.06.2008  22:19                 0 trkA6BA.tmp
03.06.2008  22:19                 0 trk9CBA.tmp
03.06.2008  21:04            70.888 magick-qb9fF2Nz
03.06.2008  21:04            70.888 magick-whPEhkBA
03.06.2008  21:03           518.400 magick-F6FNzeUX
03.06.2008  21:03           518.400 magick-KnD0Ljq9
02.06.2008  16:04            17.400 UserInfoSetup(20080602130349D30).log
02.06.2008  13:03             3.723 SetupExe(20080602130348D30).log
02.06.2008  13:03               134 14770892.od
02.06.2008  13:03                 0 CVR629D.tmp.cvr
31.05.2008  21:49                 0 trkE704.tmp
31.05.2008  21:49                 0 trkE07E.tmp
31.05.2008  21:49                 0 trkDF16.tmp
30.05.2008  00:54               442 WER62B9.tmp.version.txt
29.05.2008  20:11                 0 trkF4F7.tmp
29.05.2008  20:11                 0 trkF19C.tmp
28.05.2008  22:27            70.888 magick-kdMtT74Z
28.05.2008  22:27            70.888 magick-UqUUJwG2
28.05.2008  22:26           518.400 magick-.ZB8FrgW
28.05.2008  22:26           518.400 magick-V4zlJsOa
            1337 Datei(en),  1.231.923.423 Bytes
               0 Verzeichnis(se), 33.742.557.184 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Windows\prefetch

02.07.2008  15:12            27.170 NOTEPAD.EXE-D8414F97.pf
02.07.2008  15:11            33.768 AVWSC.EXE-18A3FCA0.pf
02.07.2008  15:11            19.282 WMIADAP.EXE-F8DFDFA2.pf
02.07.2008  15:11            16.384 TASKENG.EXE-48D4E289.pf
02.07.2008  15:11            24.968 VERCLSID.EXE-7C52E31C.pf
02.07.2008  15:11           208.324 EXPLORER.EXE-A80E4F97.pf
02.07.2008  15:10            17.332 REGEDIT.EXE-90FEEA06.pf
02.07.2008  15:10            11.606 FINDSTR.EXE-2E9C6FE2.pf
02.07.2008  15:10            10.758 ATTRIB.EXE-A990CB86.pf
02.07.2008  15:10            11.454 FIND.EXE-E2237F6D.pf
02.07.2008  15:10            19.740 NIRCMD.EXE-DF604708.pf
02.07.2008  15:10            25.592 CSCRIPT.EXE-D1EF4768.pf
02.07.2008  15:10            37.810 MOBSYNC.EXE-C5E2284F.pf
02.07.2008  15:10            22.640 WUDFHOST.EXE-AFFEF87C.pf
02.07.2008  15:10            73.624 WMPLAYER.EXE-BAD6BD53.pf
02.07.2008  15:10            10.168 CMD.EXE-4A81B364.pf
02.07.2008  15:10            16.332 DLLHOST.EXE-766398D2.pf
02.07.2008  15:10            67.688 DLLHOST.EXE-5E46FA0D.pf
02.07.2008  15:10            30.998 FLASH_DISINFECTOR.EXE-A86BF180.pf
02.07.2008  15:10            14.070 NET.EXE-DF44F913.pf
02.07.2008  15:10             8.250 NET1.EXE-849DA590.pf
02.07.2008  15:10           166.526 CONSENT.EXE-531BD9EA.pf
02.07.2008  14:15         1.114.409 AgGlUAD_P_S-1-5-21-1223160069-3051608318-4070224948-1003.db
02.07.2008  14:15         1.695.450 AgGlUAD_S-1-5-21-1223160069-3051608318-4070224948-1003.db
02.07.2008  14:12           877.433 AgCx_SC1.db
02.07.2008  14:11            83.760 AVNOTIFY.EXE-E96C2D4C.pf
02.07.2008  14:11            16.390 DLLHOST.EXE-8EF34503.pf
02.07.2008  14:11           130.054 UPDATE.EXE-6CE0A11B.pf
02.07.2008  14:11            15.372 IPCONFIG.EXE-912F3D5B.pf
02.07.2008  14:11           317.246 AgCx_SC1.db.trx
02.07.2008  14:11           117.670 WERCON.EXE-E36BD04E.pf
02.07.2008  14:11            25.230 WERMGR.EXE-0F2AC88C.pf
02.07.2008  14:11            28.420 PREUPD.EXE-A30DA2EC.pf
02.07.2008  14:11            33.774 LOGONUI.EXE-09140401.pf
02.07.2008  14:11         1.859.557 AgGlFgAppHistory.db
02.07.2008  14:11           787.696 AgGlFaultHistory.db
02.07.2008  14:11         3.276.423 AgGlGlobalHistory.db
02.07.2008  14:11           436.844 AgRobust.db
02.07.2008  13:36         1.635.780 Layout.ini
02.07.2008  13:11           100.898 ACRORD32.EXE-C7F7B209.pf
02.07.2008  13:11             9.462 PCAUI.EXE-3E82C312.pf
02.07.2008  13:09            41.240 MSIEXEC.EXE-A2D55CB6.pf
02.07.2008  13:08            49.614 TASKMGR.EXE-5F5F473D.pf
02.07.2008  13:07            58.594 SVCHOST.EXE-7CFEDEA3.pf
02.07.2008  13:07            32.764 VSSVC.EXE-B8AFC319.pf
02.07.2008  13:07            24.240 SETUP.EXE-5A94FCF5.pf
02.07.2008  13:07           118.082 ADBERDR710_EN_US.EXE-D8140F4D.pf
02.07.2008  13:06            21.790 ACROAUM.EXE-DF0BC5DD.pf
02.07.2008  13:05            27.330 ADOBEUPDATEMANAGER.EXE-F3FF25D6.pf
02.07.2008  12:57           156.704 PIDGIN.EXE-2CB7EE2F.pf
02.07.2008  12:56            49.528 GTK-RUNTIME.EXE-CD53B522.pf
02.07.2008  12:56            31.244 PIDGIN-UNINST.EXE-54788A4C.pf
02.07.2008  12:56            66.812 PIDGIN-2.4.3.EXE-074ACCA6.pf
02.07.2008  12:01           204.748 WINAMP.EXE-BD925B2E.pf
02.07.2008  11:51           111.796 DRVINST.EXE-4CB4314A.pf
02.07.2008  11:50            28.634 RUNDLL32.EXE-6D2968F1.pf
02.07.2008  11:50            32.816 RUNDLL32.EXE-0F626A30.pf
02.07.2008  11:50            33.136 RUNDLL32.EXE-D7F06071.pf
02.07.2008  11:50            32.522 RUNDLL32.EXE-6733D70C.pf
02.07.2008  11:04            18.726 CONVERT.EXE-93EA6827.pf
02.07.2008  11:00            17.686 MPSIGSTUB.EXE-9D769E5D.pf
02.07.2008  11:00            25.212 MPAS-D.EXE-40FE95BA.pf
02.07.2008  10:59            35.822 WUAUCLT.EXE-70318591.pf
02.07.2008  10:58           157.098 MIRO_MOVIEDATA.EXE-0E452153.pf
02.07.2008  10:57           272.904 FIREFOX.EXE-A606B53C.pf
02.07.2008  10:57            33.262 TRUSTEDINSTALLER.EXE-3CC531E5.pf
02.07.2008  10:56            63.930 UPDCLIENT.EXE-CE1B60A2.pf
02.07.2008  10:55            34.128 CSC.EXE-A3B8D95D.pf
02.07.2008  10:55             9.422 CVTRES.EXE-069169FB.pf
02.07.2008  10:55            23.476 CONIME.EXE-9781FD5F.pf
02.07.2008  10:55            46.136 MIRO_DOWNLOADER.EXE-685127D5.pf
02.07.2008  10:54            39.864 ELOCKSERV.EXE-3C163794.pf
02.07.2008  10:54            17.664 EDSSERVICE.EXE-B588D2B3.pf
02.07.2008  10:54            14.724 BTWDINS.EXE-0B9926A7.pf
02.07.2008  10:54            14.774 SVCHOST.EXE-9EFC97F2.pf
02.07.2008  10:54            14.602 MDNSRESPONDER.EXE-321C1F3D.pf
02.07.2008  10:54            55.982 SCHED.EXE-47E9A3B7.pf
02.07.2008  10:54         2.953.678 NTOSBOOT-B00DFAAD.pf
02.07.2008  01:39               508 PfSvPerfStats.bin
02.07.2008  01:39           124.292 WERFAULT.EXE-E69F695A.pf
02.07.2008  01:36            15.704 SEARCHFILTERHOST.EXE-77482212.pf
02.07.2008  01:36            25.766 SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf
02.07.2008  00:34            51.446 SCRIPT-FU.EXE-C31470AB.pf
02.07.2008  00:34           163.620 GIMP-2.4.EXE-3D85952A.pf
01.07.2008  23:49            14.880 FNPLICENSINGSERVICE.EXE-FAD19408.pf
01.07.2008  23:49           289.944 PHOTOSHOP.EXE-B0641B9D.pf
01.07.2008  23:14            46.606 ACRORD32INFO.EXE-20AC6ADD.pf
01.07.2008  22:25           201.648 ICQ.EXE-C4DE4A5E.pf
01.07.2008  22:24            35.826 REGSVR32.EXE-8461DBEE.pf
01.07.2008  22:20           198.934 MIBINSTALL.EXE-79B47CE2.pf
01.07.2008  22:11            42.592 IEUSER.EXE-7C0FE221.pf
01.07.2008  22:10           237.850 IEXPLORE.EXE-908C99F8.pf
01.07.2008  22:10           221.698 FIREFOX.EXE-14A77306.pf
01.07.2008  22:09            39.922 ICQLIT~2.EXE-E15CC800.pf
01.07.2008  22:09            81.490 ICQLITE.EXE-C0EB61C7.pf
01.07.2008  22:07            77.046 PIDGIN-2.4.2.EXE-F3F51221.pf
01.07.2008  22:06            29.062 UNSECAPP.EXE-A02905A6.pf
01.07.2008  21:55            78.848 FILEZILLA.EXE-808CCCD4.pf
01.07.2008  21:30            55.128 JPEG.EXE-138AA1E0.pf
01.07.2008  21:17               750 RUNDLL32.EXE-A6251510.pf
01.07.2008  10:58            44.298 FLASHPLAYERUPDATE01.EXE-F3624C52.pf
01.07.2008  10:58            11.032 NS5034.TMP-132EC679.pf
01.07.2008  10:58            16.246 NPSWF32_FLASHUTIL.EXE-46E8D71C.pf
01.07.2008  10:58            12.148 NS4D08.TMP-6D80BA8D.pf
01.07.2008  10:58            30.956 AU_.EXE-9011301B.pf
01.07.2008  10:58            17.768 UNINSTALL_PLUGIN.EXE-AE5EBCDE.pf
01.07.2008  00:56           102.660 FSVIEWER.EXE-3E29DEC1.pf
01.07.2008  00:56            35.504 GUARDGUI.EXE-6FA03444.pf
01.07.2008  00:42            48.172 GPONLINE.EXE-EF00A2D4.pf
01.07.2008  00:41            62.664 GP5.EXE-8EEA8054.pf
30.06.2008  23:44           124.404 POWERDVD.EXE-C5DA7267.pf
30.06.2008  23:43            30.856 OLRSTATECHECK.EXE-6A4FC71D.pf
30.06.2008  23:43            35.250 OLRSUBMISSION.EXE-0105FFCE.pf
30.06.2008  23:42            39.608 RUNDLL32.EXE-A117FABF.pf
30.06.2008  23:41            29.640 CONTROL.EXE-817F8F1D.pf
30.06.2008  22:57            81.242 HTMLSTUDIO.EXE-F4AC9F51.pf
30.06.2008  22:23           975.738 AgCx_SC2.db
30.06.2008  22:21            42.456 NETSH.EXE-F1B6DA12.pf
30.06.2008  17:30            13.764 USNSVC.EXE-F1C8B7D3.pf
30.06.2008  14:13            70.290 ICYTOWER13.EXE-9C8862C2.pf
30.06.2008  13:38           201.174 ZPLAYER.EXE-BA3635A3.pf
30.06.2008  12:44             2.752 RUNDLL32.EXE-230FC512.pf
07.06.2008  17:11           726.150 AgCx_S1_S-1-5-21-1223160069-3051608318-4070224948-1003.snp.db
             126 Datei(en),     24.806.497 Bytes
               0 Verzeichnis(se), 33.742.565.376 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Windows\tasks

02.07.2008  10:53                 6 SA.DAT
02.07.2008  01:39            32.614 SCHEDLGU.TXT
               2 Datei(en),         32.620 Bytes
               0 Verzeichnis(se), 33.742.569.472 Bytes frei
 Datentr„ger in Laufwerk C: ist ACER
 Volumeseriennummer: 2AA8-1BF3

 Verzeichnis von C:\Program Files

01.07.2008  22:21    <DIR>          .
01.07.2008  22:21    <DIR>          ..
01.07.2008  22:25    <DIR>          ICQ6
12.06.2008  09:26    <DIR>          Internet Explorer

30.06.2008  10:39    <DIR>          Trend Micro
12.06.2008  09:26    <DIR>          Windows Mail
               1 Datei(en),              0 Bytes
             145 Verzeichnis(se), 33.742.565.376 Bytes frei

01.07.2008, 12:44	#9
undoreal /// AVZ-Toolkit Guru	TR/VB.agt.4 entfernen Wenn du nicht sämtliche autorun.inf Dateien die sich auf deinem Rechner befinden löscht kann ich keine Garantie für irgendwas geben... __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

TR/VB.agt.4 entfernen

Plagegeister aller Art und deren Bekämpfung: TR/VB.agt.4 entfernen