| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Fund: TR/Agent.ussWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
15.06.2009, 10:49
| #1 |
 |  Fund: TR/Agent.uss Hallo zusammen... Ich bin hier schon lange registriert, konnte mir aber bisher immer selbst helfen und fand zu jedem Problem einen passenden Thread. Nun ist es leider anders und ich bitte um eure Hilfe. Heute wurde Antivir nicht automatisch gestartet, was noch nie passiert ist. Daraufhin habe ich sofort einen kompletten Systemscan gemacht und hier nun der Bericht: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. Juni 2009 08:56
Es wird nach 1465531 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer:
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: N/A
Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 29.05.2009 11:23:40
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:23:42
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 11:23:45
ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12.06.2009 04:56:37
ANTIVIR3.VDF : 7.1.4.90 20480 Bytes 14.06.2009 04:56:38
Engineversion : 8.2.0.187
AEVDF.DLL : 8.1.1.1 106868 Bytes 29.05.2009 11:23:47
AESCRIPT.DLL : 8.1.2.6 409978 Bytes 12.06.2009 11:24:33
AESCN.DLL : 8.1.2.3 127347 Bytes 29.05.2009 11:23:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29.05.2009 11:23:47
AEPACK.DLL : 8.1.3.18 401783 Bytes 29.05.2009 11:23:47
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 29.05.2009 11:23:47
AEHEUR.DLL : 8.1.0.131 1786232 Bytes 12.06.2009 11:24:32
AEHELP.DLL : 8.1.3.6 205174 Bytes 12.06.2009 11:24:25
AEGEN.DLL : 8.1.1.45 348532 Bytes 10.06.2009 11:24:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 29.05.2009 11:23:47
AECORE.DLL : 8.1.6.12 180599 Bytes 29.05.2009 11:23:46
AEBB.DLL : 8.1.0.3 53618 Bytes 29.05.2009 11:23:46
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 29.05.2009 11:23:46
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, G:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Beginn des Suchlaufs: Montag, 15. Juni 2009 08:56
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'srcmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netdde.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Windows XP SP3>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINXP\system32\icmp32.dll
[FUND] Ist das Trojanische Pferd TR/Agent.uss [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa2fbe8.qua' verschoben!
Beginne mit der Suche in 'D:\' <Nicole>
Beginne mit der Suche in 'E:\' <Voice Emotion>
Beginne mit der Suche in 'G:\' <Gina>
Ende des Suchlaufs: Montag, 15. Juni 2009 10:53
Benötigte Zeit: 1:57:02 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
6727 Verzeichnisse wurden überprüft
168290 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
168288 Dateien ohne Befall
987 Archive wurden durchsucht
1 Warnungen
1 Hinweise
Ich bin nach Anleitung vorgegangen und habe zunächst den CCleaner laufen lassen. In der Registry gab es jede Menge Fehler aber nach dem 3. Durchlauf wurden keine mehr gemeldet. Im nächsten Schritt habe ich das System dann mit Malwarebytes gescannt und hier nun der Bericht: Code:
ATTFilter mbam-log-2009-06-15 (10-19-09).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98142
Laufzeit: 24 minute(s), 36 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Compatibility Pack für 2007 Office System
Copy 'n' Paste 2.0
DesignPro 5
devolo dLAN-Konfigurationsassistent
devolo EasyClean
devolo EasyShare
devolo Informer
ElsterFormular 2008/2009
EVEREST Home Edition v2.20
FileZilla Client 3.2.3.1
Foxit Reader
FreePDF XP (Remove only)
GPL Ghostscript 8.63
GTK+ Runtime 2.14.7 rev a (nur entfernen)
Hidden Finder 1.5.3
HijackThis 2.0.2
HP Print Diagnostic Utility
hp psc 700 series
Jasc Paint Shop Pro 9
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Bootvis
Microsoft Office Professional Edition 2003
Mozilla Firefox (3.0.9)
Orga-Nicer v2.4
PDF Blender
Pidgin
PSPad editor
RedMon - Redirection Port Monitor
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Sunbelt Personal Firewall
Update für Windows XP (KB967715)
VLC media player 0.9.8a
Wichtiges Update für Windows Media Player 11 (KB959772)
WinPatrol 2009
WinRAR
WinZip
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:41:09, on 15.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINXP\system32\cisvc.exe C:\WINXP\system32\netdde.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\wscntfy.exe C:\WINXP\Explorer.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\WINXP\system32\ctfmon.exe C:\DOKUME~1\*\LOKALE~1\Temp\srcmon.exe C:\WINXP\system32\cidaemon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [System Resource Monitor] C:\DOKUME~1\Nicole\LOKALE~1\Temp\srcmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Orga-Nicer.lnk = C:\Programme\ASCOMP Software\Orga-Nicer\organicer.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D7277DE0-B069-4E08-AFD7-8344C6873519}: NameServer = 192.168.0.1,0.0.0.0 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe -- End of file - 3864 bytes Ich würde mich sehr über eine oder auch mehrere kompetente Antworten freuen, damit ich mich hinter meinem Bildschirm wieder etwas sicherer fühlen kann. Beste Grüße Perelina |
|
15.06.2009, 16:21
| #2 |
  | Fund: TR/Agent.uss Hallo Nicole und
__________________ 1.) Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0, R1, O2, O3, O8 und O9-Einträge
O4 - HKCU\..\Run: [System Resource Monitor] C:\DOKUME~1\Nicole\LOKALE~1\Temp\srcmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
2.) Lade die Datei Code:
ATTFilter C:\DOKUMEmte und Einstellungen\Nicole\LOKALE Anwendungen\Temp\srcmon.exe
3.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung) 4.) Poste ein neues HJT-Log. ciao, andreas
__________________ |
|
16.06.2009, 09:06
| #3 |
| | Fund: TR/Agent.uss Hallo Andreas,
__________________zunächst mal vielen Dank für deine Unterstützung. Konnte leider noch nicht früher reagieren. Jetzt habe ich zunächst die Datei srcmon.exe hochgeladen und im Anschluss den Scan mit SUPERAntiSpyware laufen lassen. Hier der Bericht: Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll
h**p://www.superantispyware.com
Generiert 06/16/2009 bei 09:31 AM
Version der Applikation : 4.26.1004
Version der Kern-Datenbank : 0
Version der Spur-Datenbank : 1883
Scan Art : kompletter Scann
Totale Scann-Zeit : 00:54:17
Gescannte Speicherelemente : 385
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4418
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 67536
Erfasste Datei-Elemente : 0
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:58:47, on 16.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16850) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINXP\system32\cisvc.exe C:\WINXP\system32\netdde.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe C:\WINXP\system32\svchost.exe C:\WINXP\Explorer.EXE C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINXP\system32\cidaemon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINXP\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [Workstation On-Demand Scanner] C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D7277DE0-B069-4E08-AFD7-8344C6873519}: NameServer = 192.168.0.1,0.0.0.0 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe -- End of file - 3378 bytes Beste Grüße Nicole |
|
16.06.2009, 16:19
| #4 |
| | Fund: TR/Agent.uss Da hat Avira aber mächtig gepennt. 31/39 haben den erkannt und ausgerechnet Avira nicht. Dabei war das ein Banker.  Bitte alle Kennwörter von einem sauberen Rechner aus ändern. 1.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer.  Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
17.06.2009, 10:43
| #5 |
| | Fund: TR/Agent.uss Ich komme nicht voran. Kaspersky gibt immer folgende Fehlermeldung aus:  Das Program ist aber weder installiert, noch finde ich es irgendwo auf meiner Festplatte. Wo kann ich noch suchen und vor allem wie? Eine Frage zum IE habe ich auch noch. Immer wenn ich diesen Thread öffne erscheint folgende Fehlermeldung:  Was hat das zu bedeuten? Tut mir leid, dass meine Nachrichten so lange dauern aber ich arbeite mittlerweile ausschließlich auf meinem Notebook und habe nebenbei einfach nicht immer Zeit. Natürlich ist es mir sehr wichtig, dass ich meinen Rechner bald wieder einsetzen kann, weil ich nicht gerne mit dem Notebook arbeite aber der Job und meine Kunden haben Vorrang und müssen bedient werden. An dieser Stelle möchte ich auch mal ein riesiges Lob aussprechen. Ich finde das Board wirklich großartig und die Hilfe ist selbst für Laien wie mich sehr gut beschrieben. Vielen Dank für dieses tolle Angebot! Gruß Nicole |
|
17.06.2009, 11:32
| #6 |
| | Fund: TR/Agent.uss Wer lesen kann ist klar im Vorteil  Ich hätte Kaspersky ja gar nicht installieren sollen, sondern den Online Scanner verwenden müssen. Den bekomme ich aber auch nicht zum Laufen. Geändert von Perelina (17.06.2009 um 12:09 Uhr) |
|
| Themen zu Fund: TR/Agent.uss |
| .dll, 0 bytes, antivir, avg, avgnt.exe, bildschirm, entfernen, excel, fehler, firefox, flash player, hkus\s-1-5-18, home, internet, internet explorer, logon.exe, modul, nt.dll, problem, programme, prozesse, registrierungsschlüssel, registry, sched.exe, services.exe, software, suchlauf, svchost.exe, verweise, virus, virus gefunden, warnung, was tun, windows, windows internet, windows internet explorer, winlogon.exe, wuauclt.exe |
Hybrid-Darstellung
