Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan-Downloader Win 32 Agent Variant - Problem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.08.2008, 08:17   #1
Mr. Bubbles
 
Trojan-Downloader Win 32 Agent Variant - Problem - Standard

Trojan-Downloader Win 32 Agent Variant - Problem



Guten Morgen Trojaner-Board.

Dies ist mein erster Beitrag hier und ich hoffe ich mache allles richtig

Ich habe das Problem seit gestern wenn ich den World of Warcraft Client starte. Mir wird gemeldet, dass ich den besagten Trojaner auf meinem System habe.

Ich war natürlich fleißig und habe gegoogelt und (vor allem durch dieses forum dabei) einige Programme gefunden um den Trojaner zu entfernen jedoch ohne Erfolg: laut dem WoWClient ist er immernoch auf meinem System, doch laut McAfee Virus-Scan Enterprise ist mein PC vollkommen bereinigt.

Ich habe es ebenfalls mit fixwareout und clrav einem kaspersky tool ohne Erfolg versucht. Kaspersky antivir an sich konnte ich nicht installieren, da trotz deinstallation von McAfee immernoch eine Restdatei auf dem PC bleibt die ich nicht finden kann um sie zu löschen, was schade ist, da ich bei meiner Recherche herausgefunden ahbe, das dieses Antivirus Programm den Trojaner in den meisten Fällen löschen konnte.

So nun poste ich mal meine HijackThis LogFile:



Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:19:14, on 20.08.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Roxio\Media Experience\DMXLauncher.exe
C:\Program Files\Packard Bell\FIJI\ABoard.exe
C:\Program Files\Packard Bell\FIJI\AOSD.exe
C:\Program Files\Razer_Pro_Solutions\razerhid.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Razer_Pro_Solutions\razerofa.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Steam\Steam.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Common Files\Steam\SteamService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\msiexec.exe
C:\Windows\System32\svchost.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\Scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [DMXLauncher] "C:\Program Files\Roxio\Media Experience\DMXLauncher.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Program Files\Packard Bell\FIJI\aboard.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [inst1.exe] C:\Users\M***KO~1\AppData\Local\Temp\inst1.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix: 
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - h**ps://secure.gopetslive.com/dev/GoPetsWeb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34329462-655A-4F7D-85F8-0C071F039559}: NameServer = 85.255.113.125,85.255.112.159
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
O17 - HKLM\System\CS1\Services\Tcpip\..\{34329462-655A-4F7D-85F8-0C071F039559}: NameServer = 85.255.113.125,85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\..\{34329462-655A-4F7D-85F8-0C071F039559}: NameServer = 85.255.113.125,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.125 85.255.112.159
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Common Files\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Common Files\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdhld.exe

--
End of file - 11358 bytes
         

Ich bedanke mich schonmal im Vorraus. Ihr seid meine letzte Hoffnung ich weiß nicht an wen ich mich sonst wenden soll.

Geändert von Mr. Bubbles (20.08.2008 um 08:33 Uhr)

Alt 20.08.2008, 09:16   #2
blow-in
 
Trojan-Downloader Win 32 Agent Variant - Problem - Standard

Trojan-Downloader Win 32 Agent Variant - Problem



Hallo Mr. Bubbles
und viele Grüße in die Ukraine.
Dein PC gehört dir nicht mehr. Du wirst über die Ukraine umgeleitet.
Da ist eine Datei, C:\Users\M***KO~1\AppData\Local\Temp\inst1.exe die solltest du bei Virustotal hochladen und auswerten lassen.
Das kann etwas dauern. poste dann das komplette Ergebnis hier rein.
__________________


Alt 20.08.2008, 17:44   #3
Mr. Bubbles
 
Trojan-Downloader Win 32 Agent Variant - Problem - Standard

Trojan-Downloader Win 32 Agent Variant - Problem



Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.20	-
AntiVir	7.8.1.23	2008.08.20	-
Authentium	5.1.0.4	2008.08.20	-
Avast	4.8.1195.0	2008.08.20	-
AVG	8.0.0.161	2008.08.20	Adload_r.AH
BitDefender	7.2	2008.08.20	-
CAT-QuickHeal	9.50	2008.08.20	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.20	-
eSafe	7.0.17.0	2008.08.20	-
eTrust-Vet	31.6.6037	2008.08.20	-
Ewido	4.0	2008.08.20	-
F-Prot	4.4.4.56	2008.08.19	W32/Virtumonde.T.gen!Eldorado
Fortinet	3.14.0.0	2008.08.20	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.20	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.20	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.20	-
NOD32v2	3371	2008.08.20	-
Norman	5.80.02	2008.08.20	Vundo.gen239
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.20	-
Prevx1	V2	2008.08.20	-
Rising	20.58.22.00	2008.08.20	Trojan.Win32.DNSChanger.drb
Sophos	4.32.0	2008.08.20	Sus/Behav-282
Sunbelt	3.1.1564.1	2008.08.20	-
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.20	-
VBA32	3.12.8.3	2008.08.20	-
ViRobot	2008.8.20.1342	2008.08.20	-
VirusBuster	4.5.11.0	2008.08.20	-
Webwasher-Gateway	6.6.2	2008.08.20	Win32.Malware.gen (suspicious)
weitere Informationen
File size: 50688 bytes
MD5...: f3e3361636829e76e291599498d7a7d1
SHA1..: 604d813db70cb2e6d38f0a0baeb1789e45b07dd6
SHA256: 5a7488faadeadf8f384044aa981540d41c682942c1718ad3632ab58bf79568ca
SHA512: b624161096d8aa61b2de6f09dd82ef44db9778c75abe6d4ae8bf1e30f77353e0
104c4ce32f9f933e3523675d4c7fbac0e80124a7052932920bb416c39c847c2d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401069
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.code 0x1000 0xffc 0x600 6.50 b3a364105d8cb92119c8cdf6d858b456
.code1 0x2000 0x1fd7 0x1e00 7.17 f7e8407e8682d36984a3fa7add44beda
.rdata 0x4000 0xd4d 0x200 1.15 214223b5940459ffd96d336a55ac382f
.rsrc 0x5000 0x10e51 0x9c00 7.99 1e7e2ffbdc87d34a2eda58257e217688

( 2 imports )
> user32.dll: MessageBoxA
> kernel32.dll: ExitProcess

( 0 exports )
         
Das hat mir das Programm ausgespuckt


Edit: hmm das hier vllt noch:

Datei inst1.exe empfangen 2008.08.20 17:38:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/35 (17.15%)
__________________

Alt 20.08.2008, 20:08   #4
Mr. Bubbles
 
Trojan-Downloader Win 32 Agent Variant - Problem - Standard

Trojan-Downloader Win 32 Agent Variant - Problem



Sorry aber ich kann meinen Post irgendwie nicht ein zweites mal editieren, wäre schön wenn ein Mod die beiden Posts zusammenlegen könnte.

Also hier Edit2:

Ich hab nochmal die datei C:\Users\M***KO~1\AppData\Local\Temp\inst2.exe übertrüft welche im Temp Ordner genau neben inst1.exe liegt und hier ist das Ergebnis:

Datei inst2.exe empfangen 2008.08.20 19:06:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/36 (19.45%)

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	     2008.8.19.0	       2008.08.20	                  -
AntiVir	7.8.1.23	2008.08.20	-
Authentium	5.1.0.4	2008.08.20	-
Avast	4.8.1195.0	2008.08.20	-
AVG	8.0.0.161	2008.08.20	                           Adload_r.AH
BitDefender	7.2	2008.08.20	-
CAT-QuickHeal	9.50	2008.08.20	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.20	-
eSafe	7.0.17.0	2008.08.20	-
eTrust-Vet	31.6.6037	2008.08.20	-
Ewido	4.0	2008.08.20	-
F-Prot	4.4.4.56	2008.08.19	          W32/Virtumonde.T.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.20	Suspicious:W32/Malware!Gemini
Fortinet	3.14.0.0	2008.08.20	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.20	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.20	-
McAfee	5365	2008.08.20	-
Microsoft	1.3807	2008.08.20	-
NOD32v2	3371	2008.08.20	-
Norman	5.80.02	2008.08.20	                       Vundo.gen239
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.20	-
Prevx1	V2	2008.08.20	-
Rising	20.58.22.00	2008.08.20	         Trojan.Win32.DNSChanger.drb
Sophos	4.32.0	2008.08.20	                      Sus/Behav-282
Sunbelt	3.1.1564.1	2008.08.20	-
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.20	-
VBA32	3.12.8.3	2008.08.20	-
ViRobot	2008.8.20.1342	2008.08.20	-
VirusBuster	4.5.11.0	2008.08.20	-
Webwasher-Gateway	6.6.2	2008.08.20	 Virus.Win32.FileInfector.gen (suspicious)
weitere Informationen
File size: 14336 bytes
MD5...: 26232896c52367a70f1b82badbfc8189
SHA1..: 9cfba6ba46d48d8dbc7399abe55124467f9a7f80
SHA256: 7dd0f2bfef63f36b8678148932cce80b6aaf9027ce56665939742c833c991df4
SHA512: 96b1f7e09a34524f5a7cbf2d0a9b883ff21e4063632a6bfa154d8c0a2cb81d04
16196ad2ffdc489b9fe51f554e2a10713c3225380bbdc613a33df6a3d43d65d6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401075
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.code 0x1000 0xe1a 0x600 5.78 edfcf62a9cc181dd4203bd7722bbce09
.code1 0x2000 0x1c6c 0x2000 7.08 9f5072a0f64307cb1de7e403962ef70b
.rdata 0x4000 0xc87 0x200 1.15 214223b5940459ffd96d336a55ac382f
.rsrc 0x5000 0xdc3 0xc00 7.26 350a556861d3888204f090498c7347e7

( 2 imports )
> user32.dll: MessageBoxA
> kernel32.dll: ExitProcess

( 0 exports )
         



Dann habe ich noch die Zugriffsprotokolle von McAfee angesehen und bin zu folgendem Ergebnis gekommen:

Code:
ATTFilter
20.08.2008	17:36:12	Würde durch Zugriffsschutzregel blockiert (Regel wird derzeit nicht erzwungen) 	***********	C:\Windows\Explorer.EXE	C:\Users\**** *******\AppData\Local\Temp\epk8wv98.exe	Common - Standardschutz:Ausführen von Dateien im Temp-Ordner für häufig genutzte Programme verhindern	Blockierte Aktion: Ausführen
20.08.2008	17:37:50	Würde durch Zugriffsschutzregel blockiert (Regel wird derzeit nicht erzwungen) 	********-PC\M*******	C:\Program Files\Mozilla Firefox\firefox.exe	C:\Users\**********\AppData\Local\Temp\inst1.exe	Common - Standardschutz:Ausführen von Dateien im Temp-Ordner für häufig genutzte Programme verhindern	Blockierte Aktion: Ausführen
20.08.2008	17:37:50	Würde durch Zugriffsschutzregel blockiert (Regel wird derzeit nicht erzwungen) 	******-PC\*********	C:\Program Files\Mozilla Firefox\firefox.exe	C:\Users\**** *********\AppData\Local\Temp\inst2.exe	Common - Standardschutz:Ausführen von Dateien im Temp-Ordner für häufig genutzte Programme verhindern	Blockierte Aktion: Ausführen
20.08.2008	17:40:07	Würde durch Zugriffsschutzregel blockiert (Regel wird derzeit nicht erzwungen) 	*******-PC\**********	C:\Windows\Explorer.EXE	C:\Users\**** ******\AppData\Local\Temp\inst1.exe	Common - Standardschutz:Ausführen von Dateien im Temp-Ordner für häufig genutzte Programme verhindern	Blockierte Aktion: Ausführen
         

Seit McAfee wieder aktiv ist erscheinen auch nicht mehr die PopUps. Ich glaube es sind diese die im oben genannten Bericht blockiert werden.
Ich bin mir nun ziemlich sicher, dass ich das Problem auf die beiden Dateien inst1.exe und inst2.exe zurückverfolgen konnte.
Neu ist noch die Datei C:\Users\***********\AppData\Local\Temp\epk8wv98.exe

Leider kann ich diese Datei nicht im Temp Ordner finden um sie überprüfen zu lassen.

Und nun brauche ich wieder euere Hilfe Wie soll ich weiter verfahren? Einfach die besagten Dateien löschen?

Alt 21.08.2008, 09:02   #5
blow-in
 
Trojan-Downloader Win 32 Agent Variant - Problem - Standard

Trojan-Downloader Win 32 Agent Variant - Problem



Hallo Mr. Bubbles
Dann mach mal noch einen Scan mit Blachligth poste das Ergebnis.
Wegen der Datei: C:\Users\***********\AppData\Local\Temp\epk8wv98.exe gehe dazu zu Virustotal und gebe den Pfad direkt dort ein. *** natürlich wieder mit deinem Namen austauschen.
Das du nicht mehr editieren kannst ist normal. Das geht nur 1Stunde lang.


Antwort

Themen zu Trojan-Downloader Win 32 Agent Variant - Problem
1.exe, adobe, antivir, antivirus, bho, confused, defender, entfernen, excel, explorer, firefox, hijack, hijackthis, hijackthis logfile, internet, internet explorer, kaspersky, local\temp, logfile, mozilla, mozilla firefox, packard bell, pop-up-blocker, problem, proxy, rundll, software, system, temp, urlsearchhook, vista, win 32, windows, windows defender, windows sidebar



Ähnliche Themen: Trojan-Downloader Win 32 Agent Variant - Problem


  1. hab die fehlermeldung Trojan-Downloader.Win32.Agent variant pls help
    Mülltonne - 30.11.2008 (1)
  2. Trojan-downloader.Win 32. agent variant
    Mülltonne - 22.11.2008 (0)
  3. trojan-downloader.win32.agent variant
    Mülltonne - 22.11.2008 (1)
  4. Trojan-Downloader.Win 32.Agent variant
    Plagegeister aller Art und deren Bekämpfung - 21.11.2008 (5)
  5. Trojaner Downloader.Win32.Agent variant.
    Mülltonne - 09.11.2008 (0)
  6. Trojan-Downloader.Win32.Agent variant
    Mülltonne - 08.11.2008 (0)
  7. Trojan-Downloader.Win32.Agent variant
    Mülltonne - 08.11.2008 (1)
  8. Trojan-Downloader.win32.agent variant
    Plagegeister aller Art und deren Bekämpfung - 30.10.2008 (2)
  9. Trojan-Downloader.Win32.Agent variant
    Mülltonne - 29.10.2008 (0)
  10. Trojan-Downloader.Win32.Agent Variant sowie Zlob.DNSChanger files gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (9)
  11. Großes Problem mit Trojan-Downloader.WIN.32.Agent.variant
    Log-Analyse und Auswertung - 25.05.2008 (63)
  12. Trojan-Downloader.Win32.Agent variant
    Mülltonne - 01.03.2008 (0)
  13. trojan-Downloader.Win32.Agent variant
    Plagegeister aller Art und deren Bekämpfung - 22.12.2007 (10)
  14. Trojan-Downloader.win32.Agent Variant
    Log-Analyse und Auswertung - 18.12.2007 (12)
  15. Trojan-Downloader.Win32.Agent variant auf meinem Rechner
    Plagegeister aller Art und deren Bekämpfung - 27.10.2007 (1)
  16. Trojan-Downloader.Win32.Agent variant
    Log-Analyse und Auswertung - 24.08.2007 (6)
  17. Hilfe! Trojan-Downloader.Win32.Agent variant
    Plagegeister aller Art und deren Bekämpfung - 17.06.2007 (3)

Zum Thema Trojan-Downloader Win 32 Agent Variant - Problem - Guten Morgen Trojaner-Board. Dies ist mein erster Beitrag hier und ich hoffe ich mache allles richtig Ich habe das Problem seit gestern wenn ich den World of Warcraft Client starte. - Trojan-Downloader Win 32 Agent Variant - Problem...
Archiv
Du betrachtest: Trojan-Downloader Win 32 Agent Variant - Problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.