Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2008, 19:11   #1
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Hallo Community, ich hätte da mal ein Problem...

Wie ich schon in der Überschrift angemerkt hab, hat mein Avira AntivirGuard heut morgen zwei ungebetene Gäste entdeckt:
TR/Agent.20992.N
TR/Fakealert.UM.30
Diese habe ich in Quarantäne verschoben.


Soweit ich über Google und Forensuche in Erfahrung bringen konnte, sollte zumindest Fakealert "nur" Popups aufrufen, die einen "SysProtect Remover" bewerben, welche in Realität selber wirkungslos bis Schadprogramm sind.
Diese Popups sind bei mir auch schon aufgetaucht.

Ich verwende Windows XP mit SP3

Antivir-Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 16. August 2008 06:38

Es wird nach 1556257 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MAMARECHNER

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 21:38:30
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 21:38:30
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 21:38:30
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 21:38:30
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 17:29:52
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 15:59:25
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 21:27:18
ANTIVIR3.VDF : 7.0.6.23 74240 Bytes 15.08.2008 21:50:58
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 14.04.2008 20:31:52
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 07.08.2008 13:43:48
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 21:37:03
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 20:26:59
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 21:37:03
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 21:36:58
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 07.08.2008 13:43:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 17:43:11
AEGEN.DLL : 8.1.0.35 315764 Bytes 07.08.2008 13:43:44
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 12:49:55
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 12:49:54
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 21:38:31
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 21:38:30
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 21:38:30
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 13:18:21
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 21:38:30
AVARKT.DLL : 1.0.0.23 307457 Bytes 14.04.2008 20:31:51
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 21:38:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.04.2008 20:31:52
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 21:38:31
NETNT.DLL : 8.0.0.1 7937 Bytes 14.04.2008 20:31:52
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 21:38:23
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 21:38:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 16. August 2008 06:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALCXMNTR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphmon05.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\__c002E978.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.UM.30
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49097593.qua' verschoben!
Beginne mit der Suche in 'D:\' <ALTE PLATTE>
D:\WINDOWS\SYSTEM\jesterss.dll
[FUND] Ist das Trojanische Pferd TR/Agent.20992.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49197724.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP469\A0051196.dll
[FUND] Ist das Trojanische Pferd TR/Agent.20992.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d67b51.qua' verschoben!
Beginne mit der Suche in 'E:\' <HP_RECOVERY>


Ende des Suchlaufs: Samstag, 16. August 2008 09:09
Benötigte Zeit: 2:31:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

23139 Verzeichnisse wurden überprüft
1040611 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1040606 Dateien ohne Befall
28397 Archive wurden durchsucht
7 Warnungen
3 Hinweise


HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:30, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://wuerzburg.spinchat.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [regcmdcons] c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - h**p://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://w*w.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: a4f56075382 - C:\WINDOWS\system32\__c00F24C4.dat
O20 - Winlogon Notify: __c00F6D9 - C:\WINDOWS\system32\__c00F6D9.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 7107 bytes


Anfangs dachte ich, Antivir hätte es alles im Griff gehabt, aber daran zweifle ich, seit das letzte mal das Popupfester für den Sysremover kam...
Worüber ich bisher auch noch keine Info habe, ist die Frage, ob die Einträge im HJT-Log unter O 20 (Winlogon Notify) so in Ordnung sind oder es ein Hinweis auf Malwarebefall ist. Die Google-Suche nach Winlogon Notify ergibt v.a. Virtumondo und ähnlich klingende Namen, die allerdings im O 20-Bereich eine .dll stehen haben - keine .dat

Ich hoffe, es kann mir jemand helfen und paar Hinweise geben, was ich mir eingefangen habe und wie ich es wieder los werde...
Vielen Dank schon mal im Voraus

Alt 16.08.2008, 19:54   #2
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Hi,
gehe bitte wie folgt vor:

1.)

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\__c00F24C4.dat
C:\WINDOWS\system32\__c00F6D9.dat
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

2.)
Folge der Anleitung von Malwarebytes und SuperAntiSpyware .

Außerdem, du bringst viel Eigeninitiative mit finde ich klasse, sowas sieht man hier selten.

mfg
__________________

__________________

Alt 16.08.2008, 20:10   #3
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



virustotal-scan von __c00F24C4.dat
Code:
ATTFilter
AhnLab-V3 2008.8.15.0 2008.08.15 - 
AntiVir 7.8.1.19 2008.08.16 - 
Authentium 5.1.0.4 2008.08.16 - 
Avast 4.8.1195.0 2008.08.15 - 
AVG 8.0.0.161 2008.08.16 - 
BitDefender 7.2 2008.08.16 - 
CAT-QuickHeal 9.50 2008.08.16 - 
ClamAV 0.93.1 2008.08.16 - 
DrWeb 4.44.0.09170 2008.08.16 - 
eSafe 7.0.17.0 2008.08.14 Suspicious File 
eTrust-Vet 31.6.6035 2008.08.15 - 
Ewido 4.0 2008.08.16 - 
F-Prot 4.4.4.56 2008.08.16 - 
F-Secure 7.60.13501.0 2008.08.16 - 
Fortinet 3.14.0.0 2008.08.16 - 
GData 2.0.7306.1023 2008.08.16 - 
Ikarus T3.1.1.34.0 2008.08.16 - 
K7AntiVirus 7.10.417 2008.08.15 - 
Kaspersky 7.0.0.125 2008.08.16 - 
McAfee 5362 2008.08.15 - 
Microsoft 1.3807 2008.08.16 - 
NOD32v2 3360 2008.08.15 - 
Norman 5.80.02 2008.08.15 - 
Panda 9.0.0.4 2008.08.16 - 
PCTools 4.4.2.0 2008.08.16 - 
Prevx1 V2 2008.08.16 Fraudulent Security Program 
Rising 20.57.52.00 2008.08.16 Packer.Win32.Mian007.a 
Sophos 4.32.0 2008.08.16 - 
Sunbelt 3.1.1546.1 2008.08.15 - 
Symantec 10 2008.08.16 - 
TheHacker 6.3.0.3.046 2008.08.13 - 
TrendMicro 8.700.0.1004 2008.08.16 - 
VBA32 3.12.8.3 2008.08.15 - 
ViRobot 2008.8.16.1338 2008.08.16 - 
VirusBuster 4.5.11.0 2008.08.16 - 
Webwasher-Gateway 6.6.2 2008.08.16 Win32.Malware.gen!80 (suspicious) 
weitere Informationen 
File size: 74240 bytes 
MD5...: 09cf1996766d5844ba579adea87a62db 
SHA1..: c5cc88e2665d0f5a3aeb081d40e721f5cfb92933 
SHA256: dbbca1553ebae872326fba0cc52473e35da98796a0f9841f96dffe446b51a344 
SHA512: e13b5da23fd452817f7100b229cbb3dadff3627cfb9be762663407bb779f3351
09298b371798dc704ce42c1fed160358f6797353f87e9a79a120fe9d4dde1d18 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100011e5
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17bc 0x1800 7.61 cdd901334671871f8e14e70a5c0d2a1c
.data 0x3000 0x17f6b 0xfc00 7.99 7a40bce841666accc27668d928239eea
.rsrc 0x1b000 0x974 0xa00 1.76 fd08323275ec26a818d330777eab4e00

( 2 imports ) 
> KERNEL32.dll: GetFileSize, GetLocalTime, TlsFree, VirtualAlloc, lstrcmpiA, lstrlenA, FlushFileBuffers
> msvcrt.dll: _XcptFilter, __set_app_type, _cexit, _except_handler3, _stricmp, malloc, time

( 0 exports ) 
 
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=28988FD3002E5C3022CA01F9B3042500BFF89D65
         

virustotal-scan von __c00F6D9.dat
Code:
ATTFilter
AhnLab-V3 2008.8.15.0 2008.08.15 - 
AntiVir 7.8.1.19 2008.08.16 - 
Authentium 5.1.0.4 2008.08.16 - 
Avast 4.8.1195.0 2008.08.15 - 
AVG 8.0.0.161 2008.08.16 - 
BitDefender 7.2 2008.08.16 - 
CAT-QuickHeal 9.50 2008.08.16 - 
ClamAV 0.93.1 2008.08.16 - 
DrWeb 4.44.0.09170 2008.08.16 - 
eSafe 7.0.17.0 2008.08.14 Suspicious File 
eTrust-Vet 31.6.6035 2008.08.15 - 
Ewido 4.0 2008.08.16 - 
F-Prot 4.4.4.56 2008.08.16 - 
Fortinet 3.14.0.0 2008.08.16 - 
GData 2.0.7306.1023 2008.08.16 - 
Ikarus T3.1.1.34.0 2008.08.16 - 
K7AntiVirus 7.10.417 2008.08.15 - 
Kaspersky 7.0.0.125 2008.08.16 - 
McAfee 5362 2008.08.15 - 
Microsoft 1.3807 2008.08.16 - 
NOD32v2 3360 2008.08.15 - 
Norman 5.80.02 2008.08.15 - 
Panda 9.0.0.4 2008.08.16 - 
PCTools 4.4.2.0 2008.08.16 - 
Prevx1 V2 2008.08.16 Fraudulent Security Program 
Rising 20.57.52.00 2008.08.16 - 
Sophos 4.32.0 2008.08.16 - 
Sunbelt 3.1.1546.1 2008.08.15 - 
Symantec 10 2008.08.16 - 
TheHacker 6.3.0.3.046 2008.08.13 - 
TrendMicro 8.700.0.1004 2008.08.16 - 
VBA32 3.12.8.3 2008.08.15 - 
ViRobot 2008.8.16.1338 2008.08.16 - 
VirusBuster 4.5.11.0 2008.08.16 - 
Webwasher-Gateway 6.6.2 2008.08.16 Win32.Malware.gen!80 (suspicious) 
weitere Informationen 
File size: 30208 bytes 
MD5...: 6695a99e56e61083b3a2766caef70b1c 
SHA1..: 2a113e3ab0652b601d207202764c8f9029270d4e 
SHA256: bc7898329178ad2ed95625a0b57bb7f6f8a726a7c21e1931b46d33073f1d00d3 
SHA512: 047530431f65a8f6eec3a01bb2e5beb917efe27e9a2daa590f1e119df10b68a2
ed70bde47ce0db8e6a335035a35b608f236e65de6604acf184ebe808257a3815 
PEiD..: - 
PEInfo: - 
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=BCAB5A10007358EE76AE00B4AA07BD003C223D56
         
naja n bissl eigeninitiative muss scho sein - von allein löst sich nix
höchstens für meine mutter, ist eigentlich ihr rechner, rest kann man sich denken

und ich hab ja eigentlich zu danken, dass ihr fachleute eure freizeit für uns armen user opfert...

werde mal Malwarebytes in angriff nehmen...
__________________

Alt 16.08.2008, 20:14   #4
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Zitat:
und ich hab ja eigentlich zu danken, dass ihr fachleute eure freizeit für uns armen user opfert...
No problem,
ist auch eigentlich eine Art Hobby von mir.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.08.2008, 20:24   #5
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



durchsucht das proggi alle dateien (=lange suchdauer bei vielen dateien auf der platte) oder suchts mit system (=kurze zeit)?
gibts sowas wie erfahrungswerte, wie lang die suche braucht?


Alt 16.08.2008, 20:28   #6
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Das ist unterschiedlich.
Und ja, es sucht alle Dateien ab und es entfernt Schädlinge auch
__________________
--> AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30

Alt 16.08.2008, 20:32   #7
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



hmmm ich befürchte, der durchsucht grad recht zeitaufwendig die sammlung der urlaubsfotos...

Alt 16.08.2008, 20:35   #8
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30




Du kannst ja deine Partitionen einzeln scannen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.08.2008, 20:37   #9
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



ich glaub, da rächt sich meine faulheit...
die urlaubsbilder sind unter eigene dateien->eigene bilder drin, also auch auf c:
und das obwohl ich ne zweite physische festplatte hab
aber wie heissts so schön... aus fehlern lernt man...

Alt 16.08.2008, 20:39   #10
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Genau das gleiche Problem hatte ich auch mal.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.08.2008, 20:53   #11
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



hab grad mal nachgeschaut. antivir hat heut morgen für knapp > 1 mio dateien (woher kommen die alle? soviele fotos sinds auch nicht - oder sinds etwa irgendwelche daten von meinen spielen?) 3 stunden gebraucht.
malware ist jetzt nach ner 40 min bei 70k dateien...
soll ich lieber abbrechen und paar alte spiele runterschmeissen?

Alt 16.08.2008, 20:56   #12
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Zitat:
soll ich lieber abbrechen und paar alte spiele runterschmeissen?
Nein, nicht abbrechen.
Ja, bei Spielen ist es bekannt, das diese viele Dateien erstellen.
Am besten mal den CCleaner besorgen und schauen, welche Programme installiert sind. Die unnötigen dann deinstallieren und nebenbei auch noch die Registry mit dem Cleaner säubern.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.08.2008, 20:58   #13
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



ccleaner nach oder während dem scan?

Alt 16.08.2008, 21:00   #14
Silent sharK
 

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Alles danach, sonst könnte es Probleme geben.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 16.08.2008, 22:31   #15
mcgrasi
 
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Standard

AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30



Code:
ATTFilter
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1059
Windows 5.1.2600 Service Pack 3

23:29:18 16.08.2008
mbam-log-8-16-2008 (23-29-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 372041
Laufzeit: 2 hour(s), 10 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\__c00F6D9.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00F24C4.dat (Trojan.Zlob) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\a4f56075382 (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00f6d9 (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\__c00F24C4.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00F6D9.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         
habe die 8 einträge (wie es in der anleitung steht) gelöscht.
habe jetzt eine box:
Code:
ATTFilter
Bestimmte Objekte konnten nicht entfernt werden! Die ersten paar Einträge werden aufgeführt. Alle Objekte, die nicht entfernt werden konnten, wurden derListe "Löschen bei Neustart" hinzugefügt. Bitte starten Sie Ihren jetzt Rechner neu.Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\a4f56075382
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00f6d9
C:\WINDOWS\system32\__c00F24C4.dat
C:\WINDOWS\system32\__c00F6D9.dat

Ihr Rechner muss neugestartet werden, um den Entfernungsprozeß zu vervollständigen. Wollen Sie weitermachen?

Ja / Nein zum Anklicken
         
p.s. per hand getippselt, copy/paste ging nicht, deswegen hats paar minuten gedauert...

Geändert von mcgrasi (16.08.2008 um 22:42 Uhr) Grund: hinzufügen box-text

Antwort

Themen zu AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30
0 bytes, adobe, antivir, aufrufe, avg, avgnt.exe, avira, bho, ctfmon.exe, frage, google, helfen, hijack, hijackthis, iexplore.exe, internet, internet explorer, jucheck.exe, jusched.exe, logon.exe, nt.dll, object, popups, prozesse, quara, registry, services.exe, software, suchlauf, svchost.exe, verweise, virus, virus gefunden, warnung, windows, windows xp, windows xp sp3, wuauclt.exe, xp sp3



Ähnliche Themen: AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30


  1. Antivir findet TR/Agent.16384.501 was nun
    Plagegeister aller Art und deren Bekämpfung - 25.11.2013 (9)
  2. Trojanische Pferd TR/Agent.20992.72 ?
    Log-Analyse und Auswertung - 24.01.2013 (11)
  3. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  4. Antivir findet WORM/Agent.XO
    Plagegeister aller Art und deren Bekämpfung - 30.01.2010 (2)
  5. Antivir findet ADSPY/Agent.owh
    Plagegeister aller Art und deren Bekämpfung - 30.07.2009 (34)
  6. AntiVir findet Trojaner TR/Agent.1981649.A
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (0)
  7. Trojanische Pferd TR/Agent.20992.N
    Mülltonne - 15.08.2008 (0)
  8. Trojanische Pferd TR/Agent.20992.N
    Mülltonne - 15.08.2008 (0)
  9. Trojanische Pferd TR/Agent.20992.N
    Mülltonne - 12.08.2008 (1)
  10. AntiVir findet BDS/Agent.ajs
    Log-Analyse und Auswertung - 13.01.2007 (7)
  11. Mein Antivir findet BDS/Agent.AY - Mein Antivir findet BDS/Agent.AY ???
    Plagegeister aller Art und deren Bekämpfung - 08.12.2005 (14)
  12. AntiVir findet BDS/Agent.AY
    Log-Analyse und Auswertung - 17.11.2005 (4)
  13. Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (334)
  14. antivir findet den BDS/AGENT.AY
    Plagegeister aller Art und deren Bekämpfung - 27.04.2005 (11)
  15. Antivir findet Backdoor BDS/Agent.AY
    Log-Analyse und Auswertung - 22.02.2005 (9)
  16. Antivir findet Backdoor BDS/Agent.AY
    Plagegeister aller Art und deren Bekämpfung - 09.01.2005 (10)
  17. Antivir findet BDS/Agent.EK
    Plagegeister aller Art und deren Bekämpfung - 18.12.2004 (2)

Zum Thema AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 - Hallo Community, ich hätte da mal ein Problem... Wie ich schon in der Überschrift angemerkt hab, hat mein Avira AntivirGuard heut morgen zwei ungebetene Gäste entdeckt: TR/Agent.20992.N TR/Fakealert.UM.30 Diese habe - AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30...
Archiv
Du betrachtest: AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.