Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wie kann ich TR/Agent.6938.A löschen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.10.2008, 13:54   #1
replay
 
Wie kann ich TR/Agent.6938.A löschen? - Unglücklich

Wie kann ich TR/Agent.6938.A löschen?



Hallo Liebe Leute habe seit einigen Tagen immer diese Meldung von Antivir das ich diesen Trojaner TR/Agent.6938.A habe! Kann aber egal was mir Antivir anbietet nix dagegen tun die Meldung kommt immer wieder!

Letzte Infizeirte Datei C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\tmp7.tmp

Habe auch schon Windows Neu gemacht aber der Trojaner ist immer noch da!


Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:38:01, on 01.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\brsvc01a.exe
C:\WINXP\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\RunDLL32.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
F:\DoWnLoAdZz\HiJackThis.exe
C:\WINXP\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://xxxx/Products/Monitors/magictune/magictune_05s.htm
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [C:\WINXP\system32\kdsws.exe] C:\WINXP\system32\kdsws.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F75A844-8D6D-4DA6-A5B5-6B9C45F49F23}: NameServer = 85.255.115.109,85.255.112.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F75A844-8D6D-4DA6-A5B5-6B9C45F49F23}: NameServer = 85.255.115.109,85.255.112.205
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F75A844-8D6D-4DA6-A5B5-6B9C45F49F23}: NameServer = 85.255.115.109,85.255.112.205
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINXP\system32\brsvc01a.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe

Report Malwarebytes Anti-Malware
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1221
Windows 5.1.2600 Service Pack 3

01.10.2008 13:53:18
mbam-log-2008-10-01 (13-53-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 137136
Laufzeit: 33 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c:\winxp\system32\kdsws.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdsws.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5f75a844-8d6d-4da6-a5b5-6b9c45f49f23}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.109,85.255.112.205 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{5f75a844-8d6d-4da6-a5b5-6b9c45f49f23}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.109,85.255.112.205 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{5f75a844-8d6d-4da6-a5b5-6b9c45f49f23}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.109,85.255.112.205 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINXP\system32\kdsws.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\WINXP\Temp\tempo-BD.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-0E3.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-2B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-7D.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-1A9.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-20B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-255.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-4A9.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-4B7.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-5D5.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINXP\Temp\tempo-857.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Vielleicht kann mir jemand von euch helfen? Vielen Dank!

Alt 04.10.2008, 14:29   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Wie kann ich TR/Agent.6938.A löschen? - Standard

Wie kann ich TR/Agent.6938.A löschen?



Hallo,

Zitat:
Habe auch schon Windows Neu gemacht aber der Trojaner ist immer noch da!
Wie genau hast Du das gemacht? Ein Formatierung und Neuaufsetzen überlebt kein Schädling...

Führ mal Combofix aus:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________

__________________

Antwort

Themen zu Wie kann ich TR/Agent.6938.A löschen?
adobe, antivir, antivirus, avg, avira, bho, black, browser, controlset002, einstellungen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, jusched.exe, kommt immer wieder, logfile, löschen?, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, nvidia, registrierungsschlüssel, regsvr32, rootkit.dnschanger.h, rundll, senden, software, system, temp, trojaner, tuneup.defrag, vielen dank, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Wie kann ich TR/Agent.6938.A löschen?


  1. Was kann ich löschen?
    Log-Analyse und Auswertung - 29.08.2014 (4)
  2. Malwarebytes kann Winlogon\Shell (Backdoor.Agent) nicht löschen
    Log-Analyse und Auswertung - 30.10.2011 (22)
  3. Kann Malware nicht löschen! Trojan.Agent und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (19)
  4. TR/Passcrack.B und TR/Agent.6938.A
    Plagegeister aller Art und deren Bekämpfung - 01.11.2008 (9)
  5. TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?
    Log-Analyse und Auswertung - 26.10.2008 (15)
  6. TR/Passcrack.B und TR/Agent.6938.A
    Mülltonne - 26.10.2008 (0)
  7. TR/Drop.Delf.DJ.4 und TR/Agent.AB!! Wie löschen??
    Plagegeister aller Art und deren Bekämpfung - 26.10.2008 (27)
  8. TR/Agent.6938.A
    Log-Analyse und Auswertung - 20.10.2008 (1)
  9. Antivir meldete: TR/Agent.6938.A
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (12)
  10. TR/Agent.6938.A Problem
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (2)
  11. TR/Agent.6938.A
    Log-Analyse und Auswertung - 15.10.2008 (8)
  12. TR/Agent.6938.A Prob
    Mülltonne - 15.10.2008 (0)
  13. Der Virus "TR/Agent.6938.A" macht mir zu schaffen...
    Log-Analyse und Auswertung - 01.10.2008 (6)
  14. Kein Virenprogramm kann trojanisches Pferd löschen! Wie soll ich es löschen?
    Mülltonne - 19.03.2008 (1)
  15. Wie kann ich TR/Agent.3200.A löschen?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2008 (0)
  16. Probleme mit Win32/Spy.Agent.HN zu löschen!!!!
    Mülltonne - 12.11.2005 (2)
  17. TR/Agent.CL löschen??
    Plagegeister aller Art und deren Bekämpfung - 03.05.2005 (25)

Zum Thema Wie kann ich TR/Agent.6938.A löschen? - Hallo Liebe Leute habe seit einigen Tagen immer diese Meldung von Antivir das ich diesen Trojaner TR/Agent.6938.A habe! Kann aber egal was mir Antivir anbietet nix dagegen tun die Meldung - Wie kann ich TR/Agent.6938.A löschen?...
Archiv
Du betrachtest: Wie kann ich TR/Agent.6938.A löschen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.