Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.aqfw

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.12.2008, 23:50   #1
Saurva
 
TR/Dldr.Agent.aqfw - Standard

TR/Dldr.Agent.aqfw



Hallo liebe Forumsnutzer,
hatte in den letzten 2 Tagen damit zu kämpfne, dass sich mein Soundkartentreiber regelmäßig deinstallierte.
Die Prüfung mit Antivir zeigte, dass mein Rechner mit dem Trojaner TR/Dldr.Agent.aqfw befallen war. Diese und eine Datei Namens kinbl.dll ließ ich in den Quarantäne-Ordner verschieben, dann löschte ich sie.
Anschließend ließ ich noch e-Scan laufen, das log sieht wie folgt aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.36
Sprache: German
C:\DOKUME~1\MXXX~1\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with personalantispy Corrupted Adware/Spyware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/kernelfaultcheck)! Action taken: Keine Maßnahme ergriffen.
System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\core\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500aae-91e2-11dd-b8d4-0019b97af136} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500ab0-91e2-11dd-b8d4-0019b97af136} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd92fe10-0f8f-11dd-b7ba-0019b97af136} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
EvtEng.exe - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
S24EvMon.exe - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
WLKEEPER.exe - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
svchost.exe -
svchost.exe -
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
scardsvr.exe -
avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"
explorer.exe - C:\WINDOWS\Explorer.EXE
Apoint.exe - "C:\Programme\Apoint\Apoint.exe"
rundll32.exe - "C:\WINDOWS\system32\rundll32.exe" nvHotkey.dll,Start
rundll32.exe - "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
ZCfgSvc.exe - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
iFrmewrk.exe - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
hidfind.exe - "C:\Programme\Apoint\HidFind.exe"
ApntEx.exe - "Apntex.exe"
jusched.exe - "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
quickset.exe - "C:\Programme\Dell\QuickSet\Quickset.exe"
stsystra.exe - "C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe"
avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe"
iTunesHelper.exe - "D:\Programme\iTunes\iTunesHelper.exe"
ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe"
AppleMobileDeviceService.exe - "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
mDNSResponder.exe - C:\Programme\Bonjour\mDNSResponder.exe
TeaTimer.exe - "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
cvpnd.exe - "D:\Programme\VPN Client\cvpnd.exe"
NicConfigSvc.exe - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
nvsvc32.exe - C:\WINDOWS\system32\nvsvc32.exe
RegSrvc.exe - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
svchost.exe - C:\WINDOWS\System32\svchost.exe -k imgsvc
wdfmgr.exe -
alg.exe -
iPodService.exe - C:\Programme\iPod\bin\iPodService.exe
Dot1XCfg.exe - "C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe" -Embedding
firefox.exe - "D:\Programme\Mozilla Firefox\firefox.exe"
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Maha Deva\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Profos. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIM. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIMMP. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Trufos. Action Taken: No Action Taken.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.0.2.20\iTunes.msi
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Mozilla\Firefox\Profiles\erfmscaf.default\places.sqlite-journal
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Famiglia
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Job
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Sent
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Trash
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\etilqs_KQidn2UBP9TF1nmJPSbI
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004539.exe
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004541.exe
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004961.msi
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004962.exe
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR(3)!!! ScanFile fails for E:\Workshop Bochum Juli\Artikel um Workshop\Indications for Intentional Deposition of Pottery in Chaleh Ghar Mine 1.docx
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 279447
Zahl der kritischen Objekte: 10
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 101
Zeit verstrichen: 00:23:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Die Überprüfung der Ordner: Deaktiviert

Batchstart: 23:25:52,43
Batchende: 23:25:57,59

Meine nächsten Aktionen wäre das Deinstallieren und Löschen der infizierten Treiber auf C: und E:
Habt ihr noch weitere Tipps, was ich machen sollte?
Könnte das Sicherheitsupdate "GDIPLUS.DLL" für .NET Framework 1.1
sinvoll sein?

Vielen Dank und viele Grüße,

Saurva

Alt 02.12.2008, 00:16   #2
Saurva
 
TR/Dldr.Agent.aqfw - Standard

HijackThis spuckt folgendes aus:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:36, on 02.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\VPN Client\cvpnd.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\MAHADE~1\LOKALE~1\Temp\WXTOJVSWC.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\VPN Client\vpngui.exe
O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: WXTOJVSWC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\MAHADE~1\LOKALE~1\Temp\WXTOJVSWC.exe

--
End of file - 8896 bytes
__________________


Geändert von Saurva (02.12.2008 um 00:23 Uhr)

Alt 02.12.2008, 12:48   #3
Saurva
 
TR/Dldr.Agent.aqfw - Standard

Suchlauf nach RootKits unter Avira



Ich habe mit Antivir einen Suchlauf nach Rootkits durchgeführt, folgende Warnungen wurden ausgespuckt:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. Dezember 2008  09:49

Es wird nach 1062138 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     M*
Computername:     N*

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 14:49:58
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  19.07.2008 13:13:11
LUKE.DLL      : 8.1.4.5       164097 Bytes  19.07.2008 13:13:11
LUKERES.DLL   : 8.1.4.0        12545 Bytes  19.07.2008 13:13:11
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 22:24:46
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 08:32:03
ANTIVIR2.VDF  : 7.1.0.160     571392 Bytes  30.11.2008 10:01:47
ANTIVIR3.VDF  : 7.1.0.164      25600 Bytes  01.12.2008 10:01:47
Engineversion : 8.2.0.36  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  15.10.2008 18:48:18
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  13.11.2008 14:54:16
AESCN.DLL     : 8.1.1.5       123251 Bytes  09.11.2008 09:03:53
AERDL.DLL     : 8.1.1.3       438645 Bytes  06.11.2008 19:21:22
AEPACK.DLL    : 8.1.3.4       393591 Bytes  13.11.2008 14:54:16
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  09.11.2008 09:03:52
AEHEUR.DLL    : 8.1.0.71     1487222 Bytes  09.11.2008 09:03:52
AEHELP.DLL    : 8.1.2.0       119159 Bytes  18.11.2008 18:20:37
AEGEN.DLL     : 8.1.1.6       323955 Bytes  29.11.2008 10:01:38
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 18:48:11
AECORE.DLL    : 8.1.5.2       172405 Bytes  29.11.2008 10:01:37
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 18:48:10
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  19.07.2008 13:13:11
AVPREF.DLL    : 8.0.2.0        38657 Bytes  19.07.2008 13:13:11
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 13:09:36
AVREG.DLL     : 8.0.0.1        33537 Bytes  19.07.2008 13:13:11
AVARKT.DLL    : 1.0.0.23      307457 Bytes  16.04.2008 22:05:49
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19.07.2008 13:13:11
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  16.04.2008 22:05:49
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  19.07.2008 13:13:11
NETNT.DLL     : 8.0.0.1         7937 Bytes  16.04.2008 22:05:49
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  19.07.2008 13:13:08
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  19.07.2008 13:13:08

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Dienstag, 2. Dezember 2008  09:49

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation
    [INFO]      Der Registrierungseintrag ist nicht sichtbar.
Es wurden '530267' Objekte überprüft, '2' versteckte Objekte wurden gefunden.

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\
  23990098.$$$
  AUTOEXEC.BAT
  boot.ini
  bootfont.bin
  caisslog.txt
  CONFIG.SYS
  CTX.DAT
  IO.SYS
  MSDOS.SYS
  NTDETECT.COM
  ntldr
  pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\LocalService\
  NTUSER.DAT
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  ntuser.dat.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\
  UsrClass.dat
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  UsrClass.dat.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\
  NTUSER.DAT
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  ntuser.dat.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

parent.lock
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  permissions.sqlite
  places.sqlite
  places.sqlite-journal
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\
  UsrClass.dat
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  UsrClass.dat.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

esupdate.exe
    [0] Archivtyp: Runtime Packed
    --> Object
  etilqs_4RGN3rMsj02mylGxuIwZ
  etilqs_cJoZTDhJ8udL0rYOJyS3
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Temp\hsperfdata_M*\
  3224
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Temp\grass6--3372\
  gisrc

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\NetworkService\
  NTUSER.DAT
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  ntuser.dat.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  ntuser.ini
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel\Wireless\Settings\
  Settings.ini
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel\Wireless\WLANProfiles\
  Profiles.enc
C:\Dokumente und Einstellungen\NetworkService\Cookies\
  index.dat
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\
  desktop.ini
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\
  UsrClass.dat
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  UsrClass.dat.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\System Volume Information\
  
    [WARNUNG]   Systemfehler [5]: Zugriff verweigert


C:\WINDOWS\system32\config\
  Antiviru.evt
  Antivirus.Evt
  AppEvent.Evt
  default
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  default.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  default.sav
  ODiag.evt
  OSession.evt
  SAM
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  SAM.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  SecEvent.Evt
  SECURITY
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  SECURITY.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  software
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  software.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  software.sav
  SysEvent.Evt
  system
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  system.LOG
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\WINDOWS\Temp\
  dneinst.log
  install.exe
  kds.xml
  libFNP_events.log
  libFNP_events.log.bak
  Perflib_Perfdata_1d0.dat
  Perflib_Perfdata_33c.dat
  Perflib_Perfdata_7b0.dat
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
  PQ_DEBUG.TXT


  System.EnterpriseServices.dll
  System.EnterpriseServices.Wrapper.dll


Ende des Suchlaufs: Dienstag, 2. Dezember 2008  10:16
Benötigte Zeit: 26:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6258 Verzeichnisse wurden überprüft
 265666 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     28 Dateien konnten nicht durchsucht werden
 265638 Dateien ohne Befall
   8722 Archive wurden durchsucht
     29 Warnungen
      0 Hinweise
 530267 Objekte wurden beim Rootkitscan durchsucht
      2 Versteckte Objekte wurden gefunden
         
__________________

Antwort

Themen zu TR/Dldr.Agent.aqfw
1.exe, adware, antivir, bonjour, c:\windows\system32\rundll32.exe, computer, dateisystem, defender, desktop, einstellungen, exe.corrupted, explorer, fehlalarm, fehler, infiziert, internet, internet explorer, internet security, logon.exe, maßnahme, mozilla, programme, prozesse, registrierungsdatenbank, security, security suite, software, spyware, system, temp, trojaner, virus, windows, windows xp



Ähnliche Themen: TR/Dldr.Agent.aqfw


  1. Anhaltendes Virenproblem: JAVA/Agent.MN, TR/Spy.ZBot.gfbr.1, EXP/Dldr.Java.D-G, JAVA/Dldr.Rilly.A
    Plagegeister aller Art und deren Bekämpfung - 09.11.2012 (25)
  2. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  3. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  4. BDS/Bredolab/ena, Tr/Dldr.java.Agent.Bh.3,Tr/Dldr.Fakea.jhd.2
    Log-Analyse und Auswertung - 31.05.2010 (2)
  5. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  6. Was (noch) tun: TR/Dldr.Agent, TR/Spy.Agent, TR/Dldr.Injecter und Trojan.Packed.191
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (5)
  7. hilfe TR/Dldr.Agent.gzp , DR/Dldr.Agent.fwr.1 kriege sie nicht runter
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)
  8. TR/Dldr.PuritySca.A // TR/Dldr.Agent.ezc
    Plagegeister aller Art und deren Bekämpfung - 09.01.2008 (1)
  9. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  10. TR/Dldr.HArnig.AM.1 und TR/Dldr.Agent.AP
    Plagegeister aller Art und deren Bekämpfung - 07.03.2007 (4)
  11. TR/Agent.AY, TR/Dldr.Delmed.B, TR/Dldr.Stubby.C
    Log-Analyse und Auswertung - 15.09.2006 (1)
  12. TR/Agent.BI, TR/Dldr.Agent.BQ, about:blank
    Log-Analyse und Auswertung - 30.05.2005 (1)
  13. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)
  14. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  15. HILFE, dldr.agent.cb und dldr.small.or
    Log-Analyse und Auswertung - 11.10.2004 (4)
  16. TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (7)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)

Zum Thema TR/Dldr.Agent.aqfw - Hallo liebe Forumsnutzer, hatte in den letzten 2 Tagen damit zu kämpfne, dass sich mein Soundkartentreiber regelmäßig deinstallierte. Die Prüfung mit Antivir zeigte, dass mein Rechner mit dem Trojaner TR/Dldr.Agent.aqfw - TR/Dldr.Agent.aqfw...
Archiv
Du betrachtest: TR/Dldr.Agent.aqfw auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.