Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
trojan dropper.SEH oder W32/Agent.HZTR

trojan dropper.SEH oder W32/Agent.HZTR


Plagegeister aller Art und deren Bekämpfung: trojan dropper.SEH oder W32/Agent.HZTR

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.02.2009, 23:39   #1
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Hallo,

Spyware Doktor findet ständig einen Trojan-Dropper.SEH
kann ihn zwar entfernen, bei Neustart des PC ist er allerdings immer wieder da.
Hab schon bissl gegoogelt, aber ich bin jetzt nicht so der PC-Crack, wer kann mir auf möglichst einfach verständliche Weise helfen, das Ding zu entfernen?

Danke
Jeanny


Betriebsystemname Microsoft® Windows Vista™ Home Premium
Version 6.0.6000 Build 6000
Weitere Betriebsystembeschreibung Nicht verfügbar
Betriebsystemhersteller Microsoft Corporation
Systemname USER-PC
Systemhersteller Dell Inc
Systemmodell Dimension E521
Systemtyp X86-basierter PC
Prozessor AMD Athlon(tm) 64 X2 Dual Core Processor 5000+, 2600 MHz, 2 Kern(e), 2 logische(r) Prozessor(en)
BIOS-Version/-Datum Dell Inc 1.1.8, 18.04.2007
SMBIOS-Version 2.4
Windows-Verzeichnis C:\Windows
Systemverzeichnis C:\Windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "6.0.6000.20500"
Benutzername user-PC\user
Zeitzone Mitteleuropäische Zeit
Gesamter realer Speicher 2.045,88 MB
Verfügbarer realer Speicher 1,27 GB
Gesamter virtueller Speicher 4,21 GB
Verfügbarer virtueller Speicher 3,01 GB
Größe der Auslagerungsdatei 2,29 GB
Auslagerungsdatei C:\pagefile.sys

Alt 27.02.2009, 23:43   #2
john.doe
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Hallo Jeanny74 und

Klick auf den Link, lies alles aufmerksam und arbeite die Liste ab: http://www.trojaner-board.de/69886-a...-beachten.html

ciao, andreas
__________________
Alt 28.02.2009, 11:37   #3
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Okay, CCCleaner durchgeführt

Malwarbytes sagt folgendes:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1811
Windows 6.0.6000

28.02.2009 11:36:02
mbam-log-2009-02-28 (11-36-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|)
Durchsuchte Objekte: 191944
Laufzeit: 1 hour(s), 28 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebMediaPlayer (Rogue.WebMediaPlayer) -> Delete on reboot.
__________________
Alt 01.03.2009, 13:32   #4
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Code:
ATTFilter
info.txt logfile of random's system information tool 1.05 2009-03-01 13:29:46

======Uninstall list======

-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
32 Bit HP CIO Components Installer-->MsiExec.exe /I{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}
Acrobat.com-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR Application Installer.exe -uninstall com.adobe.mauby 4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
Acrobat.com-->MsiExec.exe /I{77DCDCE3-2DED-62F3-8154-05E745472D07}
Adobe AIR-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Adobe AIR Updater.exe -arp:uninstall
Adobe AIR-->MsiExec.exe /I{00203668-8170-44A0-BE44-B632FA4D780F}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A90000000001}
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CEP - Color Enable Package-->"C:\PROGRA~1\EAGAME~1\zCEP_Uninstaller\unins000.exe"
Designer 2.0-->"C:\Program Files\fotobuch.de AG\Designer 2.0\unins000.exe"
Die Sims 2-->C:\Program Files\EA GAMES\Die Sims 2\EAUninstall.exe
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Favorit-->c:\users\user\appdata\local\ysvpbm.bat
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HP Customer Participation Program 9.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 9.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP OCR Software 9.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
HP Photosmart All-In-One Software 9.0-->C:\Program Files\HP\Digital Imaging\{B46AC30C-22D2-4610-B041-1DA7BB29EB57}\setup\hpzscr01.exe -datfile hposcr21.dat
HP Photosmart Essential 2.01-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
HP Product Assistant-->MsiExec.exe /I{36FDBE6E-6684-462B-AE98-9A39A1B200CC}
HP Smart Web Printing-->MsiExec.exe /X{415CDA53-9100-476F-A7B2-476691E117C7}
HP Solution Center 9.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update-->MsiExec.exe /X{FE57DE70-95DE-4B64-9266-84DA811053DB}
HPSSupply-->MsiExec.exe /X{487B0B9B-DCD4-440D-89A0-A6EDE1A545A3}
IrfanView (remove only)-->C:\Program Files\IrfanView\iv_uninstall.exe
iTunes-->MsiExec.exe /I{318AB667-3230-41B5-A617-CB3BF748D371}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Works-->MsiExec.exe /I{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}
Mozilla Firefox (3.0.6)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Navilog1 3.7.5-->"C:\Program Files\Navilog1\unins000.exe"
OnlineFotoservice-->"C:\Program Files\OnlineFotoservice\OnlineFotoservice\uninstall.exe"
OpenOffice.org 3.0-->MsiExec.exe /I{04B45310-A5FE-4425-BFCA-1A6D8920DE74}
QuickTime-->MsiExec.exe /I{F958CA02-BB40-4007-894B-258729456EE4}
RealPlayer-->C:\Program Files\Common Files\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\Windows\system32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AS: Windows-Defender

System event log

Computer Name: user-PC
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
 Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
 	Scan-ID: {E29F9C19-C6A3-4148-8F60-781706468DC4}
  	Benutzer: user-PC\user
 	Name: Unknown
 	ID: 
 	Schweregrad-ID: 
 	Kategorie-ID: 
 	Gefundener Pfad: clsid:HKLM\SOFTWARE\CLASSES\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A};regkey:HKLM\SOFTWARE\CLASSES\CLSID\{45AC2688-0253-4ED8-97DE-B5370FA7D48A};regkey:HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning;contextmenu:HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning;file:C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
 	Warnungsart: Nicht klassifizierte Software
 	Feststellungstyp:  
Record Number: 89638
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090301122730.000000-000
Event Type: Warnung
User: 

Computer Name: user-PC
Event Code: 6
Message: Der Dateisystemfilter "avgntflt" (6.0, 2008-05-19T12:17:12.000Z) wurde erfolgreich geladen und im Filter-Manager registriert.
Record Number: 89639
Source Name: Microsoft-Windows-FilterManager
Time Written: 20090301122728.876611-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: user-PC
Event Code: 17
Message: AVGNTFLT successfully loaded
Record Number: 89640
Source Name: avgntflt
Time Written: 20090301122728.876611-000
Event Type: Informationen
User: 

Computer Name: user-PC
Event Code: 3005
Message: Zum Schutz dieses Computers vor Spyware und möglicherweise unerwünschter Software wurden vom Windows-Defender-Echtzeitschutz-Agent Maßnahmen ergriffen.
 Weitere Informationen finden Sie hier:
Nicht zutreffend
 	Scan-ID: {E29F9C19-C6A3-4148-8F60-781706468DC4}
  	Benutzer: user-PC\user
 	Name: Unknown
 	ID: 
 	Schweregrad-ID: 
 	Kategorie-ID: 
 	Warnungsart: Nicht klassifizierte Software
 	Aktion: Ignorieren
Record Number: 89641
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090301122730.000000-000
Event Type: Informationen
User: 

Computer Name: user-PC
Event Code: 7036
Message: Dienst "Avira AntiVir Personal - Free Antivirus Guard" befindet sich jetzt im Status "Ausgeführt".
Record Number: 89642
Source Name: Service Control Manager
Time Written: 20090301122731.000000-000
Event Type: Informationen
User: 

Application event log

Computer Name: user-PC
Event Code: 1034
Message: Das Produkt wurde durch Windows Installer deinstalliert. Produktname: Bonjour. Produktversion: 1.0.106. Produktsprache: 1031. Erfolg- bzw. Fehlerstatus der Deinstallation: 0.
Record Number: 19336
Source Name: MsiInstaller
Time Written: 20090301122437.000000-000
Event Type: Informationen
User: user-PC\user

Computer Name: user-PC
Event Code: 8194
Message: Volumeschattenkopie-Dienstfehler: Beim Abfragen nach der Schnittstelle "IVssWriterCallback" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070005. Die Ursache hierfür ist oft eine falsche Sicherheitseinstellung im Schreib- oder Anfrageprozess. 

Vorgang:
   Generatordaten werden gesammelt

Kontext:
   Generatorklassen-ID: {e8132975-6f93-4464-a53e-1050253ae220}
   Generatorname: System Writer
   Generatorinstanz-ID: {453f356e-8f88-41bb-b23e-5efdd4615898}
Record Number: 19337
Source Name: VSS
Time Written: 20090301122623.000000-000
Event Type: Fehler
User: 

Computer Name: user-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Users\user\AppData\Local\Temp\RarSFX0\basic\setup.exe ; Beschreibung = Avira AntiVir Personal - 2009-03-01 13:26).
Record Number: 19338
Source Name: System Restore
Time Written: 20090301122629.000000-000
Event Type: Informationen
User: 

Computer Name: user-PC
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!
Record Number: 19339
Source Name: Avira AntiVir
Time Written: 20090301122731.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: user-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Users\user\AppData\Local\Temp\RarSFX0\basic\setup.exe ; Beschreibung = Avira AntiVir Personal - 2009-03-01 13:26).
Record Number: 19340
Source Name: System Restore
Time Written: 20090301122737.000000-000
Event Type: Informationen
User: 

Security event log

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys	
Record Number: 35232
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.099811-000
Event Type: Überwachung gescheitert
User: 

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys	
Record Number: 35233
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.131011-000
Event Type: Überwachung gescheitert
User: 

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys	
Record Number: 35234
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.146611-000
Event Type: Überwachung gescheitert
User: 

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys	
Record Number: 35235
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.177811-000
Event Type: Überwachung gescheitert
User: 

Computer Name: user-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.

Dateiname:	\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys	
Record Number: 35236
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090301122945.209011-000
Event Type: Überwachung gescheitert
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 67 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4302
"NUMBER_OF_PROCESSORS"=2
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

Alt 01.03.2009, 14:09   #5
john.doe
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Soso, Windows Defender hat festgestellt, dass Avira ganz böse ist.

Naja, halte ich mich mit meinen Kommentaren mal lieber zurück. Hattest du mal irgendwelche P2P-Software, wie Azureus, BitTorrent, Emule oder sonstige Virenschleudern auf deinem Rechner?

1.) Mache bitte einen Mausklick rechts auf folgende Datei und wähle Bearbeiten:
Zitat:
c:\users\user\appdata\local\ysvpbm.bat
Poste den Inhalt dieser Datei.

2.) Solltest du Microsoft Works (bäh) nicht benutzen, dann deinstalliere es. Dasselbe gilt für Designer 2.0 (bähbäh).

3.) Lasse SourceForge.net: JavaRa: Downloading ... laufen.

4.) Installiere Download der Java-Software von Sun Microsystems.

5.) Lösche folgende Datei:
Code:
ATTFilter
C:\Windows\tasks\Ad-Aware Update (Weekly).job
6.) Einige Reste (Catchme, Process Explorer) deuten auf versuchte Selbstheilung hin. Ohne ComboFix weiß ich allerdings nicht, wie die Reste zu beseitigen sind.

7.) Schädlinge im Ordner der Systemwiederherstellung:

(Systemwiederherstellung kann nun wieder aktiviert werden.)


8.)
Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit wird Combofix und alle weiteren Programme entfernt.

9.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
=> Fix checked

10.) Mache einen Neustart und poste ein neues HJT-Log.

ciao, andreas


Alt 01.03.2009, 19:30   #6
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


So, wieder da, dann werde ich mal Stück für Stück deiner Liste abarbeiten - übrigens hängt mein PC beim hochfahren gleich beim booten, ging grad wieder nicht aufs erste Mal...

Ich hatte mal Vuze auf dem Rechner, ist glaub ich so ein BitTorrent-Zeug, oder?

zu1) weiß nicht genau was ich dir hier posten soll??
Allgemein:
Ort c:\users\user\appdata\local
Größe 87 Bytes (87 Bytes)
Größe auf Datenträger 4.00 KB (4,096 Bytes)

Erstellt: ‎2009-‎01-‎18, ‏‎11:48
Geändert: ‎2009-‎02-‎28, ‏‎20:18
Letzter Zugriff: ‎2009-‎01-‎18, ‏‎11:48
Alt 01.03.2009, 19:35   #7
john.doe
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Mausklick rechts war schon richtig, doch statt Eigenschaften sollst du Bearbeiten wählen. Dann öffnet sich Notepad, dort [Strg]a, [Strg]c drücken, zu Trojaner-Board wechseln, auf Antworten klicken und dann [Strg]v.

ciao, andreas

Alt 28.02.2009, 11:56   #8
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


So, Hijack auch aus geführt
Code:
ATTFilter
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Users\user\AppData\Local\wgcwo.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [wgcwo] "c:\users\user\appdata\local\wgcwo.exe" wgcwo
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O13 - Gopher Prefix: 
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 8294 bytes

Alt 28.02.2009, 12:49   #9
john.doe
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Auch wenn die Uninstallliste von HJT noch fehlt, irgendwie ahne ich, was da schiefhängt.

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

ciao, andreas

Alt 28.02.2009, 13:10   #10
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Hi, danke für deine Antwort!
Die Uninstall-Liste? Wo finde ich die?
Ich hab bei Hijak auch nichts weiter gemacht, gefixed oder so, muss ich da noch was tun? Hab alle noch offen wie nach dem Scan

Navilog läuft...

Alt 28.02.2009, 13:21   #11
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Code:
ATTFilter
Search Navipromo version 3.7.5 began on 28.02.2009 at 13:09:26,92

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1

Updated on 26.02.2009 at 18h00 by IL-MAFIOSO

Microsoft® Windows Vista™ Home Premium  ( v6.0.6000 ) 
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ )
BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
USER : user ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


C:\ (Local Disk) - NTFS - Total:97 Go (Free:57 Go)
D:\ (Local Disk) - NTFS - Total:135 Go (Free:115 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (Local Disk) - NTFS - Total:232 Go (Free:232 Go)
K:\ (USB)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\Windows" ***


*** Search folders in "C:\Program Files" ***


*** Search folders in "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\WebMediaPlayer found !

*** Search folders in "c:\progra~2\micros~1\windows\startm~1" ***


*** Search folders in "C:\ProgramData" ***


*** Search folders in "c:\users\user\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Search folders in "C:\Users\user\AppData\Local\virtualstore\Program Files" ***



*** Search folders in "C:\Users\user\AppData\Local" ***




*** Search folders in "C:\Users\user\AppData\Roaming" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\Windows\system32" *

* Scan in "C:\Users\user\AppData\Local\Microsoft" *

* Scan in "C:\Users\user\AppData\Local\virtualstore\windows\system32" *

* Scan in "C:\Users\user\AppData\Local" *



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wgcwo"="\"c:\\users\\user\\appdata\\local\\wgcwo.exe\" wgcwo"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\Windows\system32" :


* In "C:\Users\user\AppData\Local\Microsoft" :


* In "C:\Users\user\AppData\Local\virtualstore\windows\system32" :


* In "C:\Users\user\AppData\Local" :

wgcwo.exe found !
wgcwo.dat found !
wgcwo_nav.dat found !
wgcwo_navps.dat found !

3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :


C:\ProgramData\fotobuch.de AG found ! Possible Lop infection, not cleaned with this tool !


*** Search completed on 28.02.2009 at 13:19:17,99 ***

Alt 28.02.2009, 13:30   #12
john.doe
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


1.) Rufe das Programm bitte erneut auf und wähle die Option 2
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  • Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.

2.) Ein neues HJT-Log posten.

ciao, andreas

Alt 28.02.2009, 23:33   #13
Jeanny74
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Und hier noch das neueste Hijack

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:32:29, on 28.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O13 - Gopher Prefix: 
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5664 bytes

Alt 28.02.2009, 23:35   #14
john.doe
 
trojan dropper.SEH oder W32/Agent.HZTR - Standard

trojan dropper.SEH oder W32/Agent.HZTR


Lasse LopSD gleich nochmal laufen, diesmal mit Option 2. Poste das Log.

ciao, andreas

Antwort

Themen zu trojan dropper.SEH oder W32/Agent.HZTR
athlon, bissl, build, device, einfach, entferne, entfernen, home, immer wieder, neustart, pagefile.sys, processor, troja, trojan, verständliche, virtueller, windows


« Hilfe nach Trojaner | Problem mit 'RECYCLER'... »


Ähnliche Themen: trojan dropper.SEH oder W32/Agent.HZTR


  1. Win7 Trojan.Agent/Gen-XDown & Trojan.Unclassified/Dropper
    Log-Analyse und Auswertung - 15.11.2015 (9)
  2. TR/ATRAPS.Gen und TR/Kazy durch Antivir gemeldet; ferner Trojan.Agent.MRGGen, Trojan.0Access, Trojan.Dropper.BCMiner
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (10)
  3. TR.Dropper.gen in C:\Users\Christina\AppData\Local\Temp, Trojan/Zaccess, Trojan.Agent, ...
    Log-Analyse und Auswertung - 19.06.2012 (29)
  4. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  5. TR/Dropper.Gen von Avira AntiVir und Trojan.Agent.CK sowie Trojan.Orsam von Malwarebytes erkannt
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (1)
  6. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  7. unerwünschte pop ups -> (Adware Tracking Cookie,trojan agent,trojan dropper)
    Log-Analyse und Auswertung - 02.06.2010 (20)
  8. Mehrere Trojaner Meldungen 'TR/Dldr.Agent.yla' [trojan] 'TR/Dropper.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (19)
  9. Hab ich den Trojan.Agent oder Antivirus 2008 oder 2009
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (1)
  10. Hilfe!! Trojan-Dropper.SEH(W32/Agent.HZTR) eingefangen
    Mülltonne - 24.12.2008 (1)
  11. Hilfe!! Trojan-Dropper.SEH(W32/Agent.HZTR) eingefangen
    Mülltonne - 23.12.2008 (0)
  12. trojan-dropper oder ähnliches
    Plagegeister aller Art und deren Bekämpfung - 28.11.2008 (0)
  13. Trojan-Dropper.Win32.Agent.dtk
    Plagegeister aller Art und deren Bekämpfung - 21.03.2008 (1)
  14. Trojan-Dropper.Win32.Agent.bip
    Plagegeister aller Art und deren Bekämpfung - 19.08.2007 (5)
  15. HILFE!!! Trojan.Dropper.Agent.TZ!!!
    Plagegeister aller Art und deren Bekämpfung - 23.12.2005 (3)
  16. Trojan.Banker.VB.0D9D0998 und Trojan-Dropper.Win32.Agent.wd
    Log-Analyse und Auswertung - 04.10.2005 (2)
  17. Trojan-Dropper.Win32.Agent.dw
    Plagegeister aller Art und deren Bekämpfung - 18.01.2005 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema trojan dropper.SEH oder W32/Agent.HZTR - Hallo, Spyware Doktor findet ständig einen Trojan-Dropper.SEH kann ihn zwar entfernen, bei Neustart des PC ist er allerdings immer wieder da. Hab schon bissl gegoogelt, aber ich bin jetzt nicht - trojan dropper.SEH oder W32/Agent.HZTR...
Archiv
Du betrachtest: trojan dropper.SEH oder W32/Agent.HZTR auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131