Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.11.2008, 01:16   #1
Chris_T_an
 
TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen. - Ausrufezeichen

TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.



Hallo!

Ich habe (wie hier wohl manch Anderer) ein kleines Trojaner-Problem.

Avira AntiVir hat gestern den 'TR/Hijack.AG.1' auf meinem Rechner gefunden.

Der Pfad war 'C:\WINDOWS\system32\kbdca32.dll'.

Spybot SD hat das Ding nicht gefunden...

Habe bei google leider nichts drüber gefunden.

Ich habe versucht mit AntiVir diese Datei zu löschen. In system32 ist sie seit dem auch nicht mehr zu finden, dafür hat sich jetzt auf C:\ eingenistet und heißt jetzt 'C:\ARK1.tmp'. Nach Versuchen diese zu löschen benennt sich diese Datei ständig um...

Jetzt heißt sie 'C:\ARK4.tmp' , da sich die Zahl im Dateinamen mit jedem Löschversuch um 1 erhöht hat... Ich vermute mal, dass das so weiter geht, daher hier meine Bitte mir zu helfen, das Ding auszuräuchern!

Da mein Rechner ziemlich frisch aufgesetzt ist, konnte ich anhand des Erstelldatums der Datei und dem Browser-Verlauf rekonstruieren, das diese Datei 7 Sekunden nach der Installation des Adobe Reader 9.0 erstellt wurde, irgendwie sehr verdächtig... Vielleicht gibt es da ja einen Zusammenhang...





Hier das HijackThis.log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:27:39, on 12.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Alice Software\AliceEinwahl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225159744782
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91249AEE-1A0D-4617-B6ED-75AD04B79A6C}: NameServer = 213.191.74.18 62.109.123.196
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 5141 bytes




Hab, wie einem meiner Vorredner (TR/Hijack.AE.2 (nvnccsrs) im Ordner System32 von M///) empfohlen wurde das Ding nochmal bei VirusTotal durchsuchen lassen:



AhnLab-V3 2008.11.11.2 2008.11.11 -
AntiVir 7.9.0.31 2008.11.11 TR/Hijack.AG.1
Authentium 5.1.0.4 2008.11.11 -
Avast 4.8.1248.0 2008.11.11 -
AVG 8.0.0.161 2008.11.11 -
BitDefender 7.2 2008.11.11 -
CAT-QuickHeal 9.50 2008.11.11 -
ClamAV 0.94.1 2008.11.11 -
DrWeb 4.44.0.09170 2008.11.12 -
eSafe 7.0.17.0 2008.11.11 -
eTrust-Vet 31.6.6204 2008.11.11 -
Ewido 4.0 2008.11.11 -
F-Prot 4.4.4.56 2008.11.11 -
Fortinet 3.117.0.0 2008.11.11 -
GData 19 2008.11.11 -
Ikarus T3.1.1.45.0 2008.11.11 Trojan-Dropper.Agent
K7AntiVirus 7.10.522 2008.11.11 -
Kaspersky 7.0.0.125 2008.11.12 -
McAfee 5430 2008.11.10 -
Microsoft 1.4104 2008.11.12 -
NOD32 3604 2008.11.11 -
Norman 5.80.02 2008.11.11 -
Panda 9.0.0.4 2008.11.11 -
PCTools 4.4.2.0 2008.11.11 -
Prevx1 V2 2008.11.12 Cloaked Malware
Rising 21.03.12.00 2008.11.11 -
SecureWeb-Gateway 6.7.6 2008.11.11 Trojan.Hijack.AG.1
Sophos 4.35.0 2008.11.11 -
Sunbelt 3.1.1785.2 2008.11.11 -
Symantec 10 2008.11.11 -
TheHacker 6.3.1.1.148 2008.11.11 -
TrendMicro 8.700.0.1004 2008.11.11 -
VBA32 3.12.8.9 2008.11.11 -
ViRobot 2008.11.11.1461 2008.11.11 -
VirusBuster 4.5.11.0 2008.11.11 -
weitere Informationen
File size: 19456 bytes
MD5...: b71bad15ed29340e40a99fef8f29a5c8
SHA1..: 9b8c66ac5c3aa35b610f3b152abcfa4c0855c9f8
SHA256: 655140a99646a518233cf805f70a8ade52012ede67eb553eb857b02004644522
SHA512: c927329ac658cd8d4ba952609f446c9687fac643c31c7b6126ce11bd811983a0
678aadfeb7fdea8d9a50f316a28cb2a2ff52c032d84dcc1e755a31bc6cbeb5e9
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x36004171
timedatestamp.....: 0xb87cc61bL (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3ca2 0x3e00 6.34 a0e31b98456f4457f55b30e59af33f8f
.data 0x5000 0x140 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d
.rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca
.reloc 0x7000 0x268 0x400 3.57 b92e0ec845a4707d5da5e959dbd2ca97

( 5 imports )
> ADVAPI32.dll: GetUserNameA
> USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA
> KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime
> WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState
> MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy

( 31 exports )
TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4ED8E751004DF9E34CA200BDBAE31F009A7CFF7A




Ich bin für jede Hilfe dankbar, ich bin leider nicht so bewandert im Beseitigen von solchen Dingern...

Vielen Dank im Voraus,

Gruß Christian


Betriebssystem:

MS Windows XP SP3, Avira AntiVir, Windows Firewall, Spybot SD

Alt 12.11.2008, 10:33   #2
kaso1982
 
TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen. - Standard

TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.



Moin Moin,

same here!



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User geholfen werden kann.


Danke.

[/edit]
__________________


Antwort

Themen zu TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.
.dll, adobe, antivir, antivirus, avg, bho, computer, confused, excel, explorer, firefox, firewall, google, installation, internet, internet explorer, launch, mozilla, object, realtek, sekunden, software, system, temp, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.


  1. frustraner hijack.startpage löschversuch
    Log-Analyse und Auswertung - 05.08.2015 (13)
  2. 2x Avira Antivir - Update fehlgeschlagen (Keine Verbindung zum Internet)
    Mülltonne - 03.04.2015 (4)
  3. JS.Expack.AH von Antivir erkannt. Was tun?
    Plagegeister aller Art und deren Bekämpfung - 16.11.2012 (13)
  4. Piepston, als ob AntiVir Virus erkannt hätte
    Log-Analyse und Auswertung - 15.09.2011 (3)
  5. win32killAV-ahy von avast-antivir erkannt - was nun?
    Log-Analyse und Auswertung - 24.05.2011 (16)
  6. Malware von Antivir erkannt
    Plagegeister aller Art und deren Bekämpfung - 27.12.2010 (4)
  7. problem mit trojaner agent.24. pc bootet nach löschversuch mit antivir nicht mehr.
    Plagegeister aller Art und deren Bekämpfung - 23.03.2010 (1)
  8. ¿ eJay wird von akt.AntiVir als troj.Pferd erkannt ?
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (9)
  9. AntiVir hat Sinowal Gen erkannt. Und nun?
    Log-Analyse und Auswertung - 14.12.2009 (1)
  10. IE und Antivir funktioniert nicht - Security.Hijack und Hijack.ControlPanelStyle
    Log-Analyse und Auswertung - 25.07.2009 (37)
  11. AntiVir hat TR/Crypt.ZPACK.Gen bei mir erkannt
    Log-Analyse und Auswertung - 30.04.2009 (4)
  12. TR/Hijack.AG.2 erkannt, Antivir kann nicht löschen
    Mülltonne - 12.11.2008 (0)
  13. TR/Crypt.XPACK.Gen wurde von AntiVir erkannt - HILFE!
    Plagegeister aller Art und deren Bekämpfung - 05.11.2008 (1)
  14. Trojaner mit AntiVir erkannt
    Mülltonne - 01.11.2008 (0)
  15. TR/Agent.71680.19 : Trojaner erkannt von AntiVir
    Log-Analyse und Auswertung - 28.01.2008 (1)
  16. Trojaner mit antivir erkannt was nun????
    Plagegeister aller Art und deren Bekämpfung - 02.01.2006 (2)
  17. Antivir hat Trojaner erkannt
    Plagegeister aller Art und deren Bekämpfung - 21.01.2005 (18)

Zum Thema TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen. - Hallo! Ich habe (wie hier wohl manch Anderer) ein kleines Trojaner-Problem. Avira AntiVir hat gestern den 'TR/Hijack.AG.1' auf meinem Rechner gefunden. Der Pfad war 'C:\WINDOWS\system32\kbdca32.dll' . Spybot SD hat das - TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen....
Archiv
Du betrachtest: TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.