Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Fund: TR/Agent.uss

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.06.2009, 10:49   #1
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Hallo zusammen...

Ich bin hier schon lange registriert, konnte mir aber bisher immer selbst helfen und fand zu jedem Problem einen passenden Thread. Nun ist es leider anders und ich bitte um eure Hilfe.

Heute wurde Antivir nicht automatisch gestartet, was noch nie passiert ist. Daraufhin habe ich sofort einen kompletten Systemscan gemacht und hier nun der Bericht:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. Juni 2009  08:56

Es wird nach 1465531 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     N/A

Versionsinformationen:
BUILD.DAT     : 8.2.0.353      17048 Bytes  15.05.2009 12:02:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  29.05.2009 11:23:40
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:23:42
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 11:23:45
ANTIVIR2.VDF  : 7.1.4.87     2982912 Bytes  12.06.2009 04:56:37
ANTIVIR3.VDF  : 7.1.4.90       20480 Bytes  14.06.2009 04:56:38
Engineversion : 8.2.0.187 
AEVDF.DLL     : 8.1.1.1       106868 Bytes  29.05.2009 11:23:47
AESCRIPT.DLL  : 8.1.2.6       409978 Bytes  12.06.2009 11:24:33
AESCN.DLL     : 8.1.2.3       127347 Bytes  29.05.2009 11:23:47
AERDL.DLL     : 8.1.1.3       438645 Bytes  29.05.2009 11:23:47
AEPACK.DLL    : 8.1.3.18      401783 Bytes  29.05.2009 11:23:47
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  29.05.2009 11:23:47
AEHEUR.DLL    : 8.1.0.131    1786232 Bytes  12.06.2009 11:24:32
AEHELP.DLL    : 8.1.3.6       205174 Bytes  12.06.2009 11:24:25
AEGEN.DLL     : 8.1.1.45      348532 Bytes  10.06.2009 11:24:10
AEEMU.DLL     : 8.1.0.9       393588 Bytes  29.05.2009 11:23:47
AECORE.DLL    : 8.1.6.12      180599 Bytes  29.05.2009 11:23:46
AEBB.DLL      : 8.1.0.3        53618 Bytes  29.05.2009 11:23:46
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL     : 8.0.0.3       155688 Bytes  29.05.2009 11:23:46
AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, G:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Montag, 15. Juni 2009  08:56

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'srcmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'netdde.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows XP SP3>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINXP\system32\icmp32.dll
    [FUND]      Ist das Trojanische Pferd TR/Agent.uss    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa2fbe8.qua' verschoben!
Beginne mit der Suche in 'D:\' <Nicole>
Beginne mit der Suche in 'E:\' <Voice Emotion>
Beginne mit der Suche in 'G:\' <Gina>


Ende des Suchlaufs: Montag, 15. Juni 2009  10:53
Benötigte Zeit:  1:57:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   6727 Verzeichnisse wurden überprüft
 168290 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 168288 Dateien ohne Befall
    987 Archive wurden durchsucht
      1 Warnungen
      1 Hinweise
         
Weil dies mein erster Beitrag in dieser Form ist, möchte ich um Nachsicht bitten, falls nicht alles perfekt gepostet ist.

Ich bin nach Anleitung vorgegangen und habe zunächst den CCleaner laufen lassen. In der Registry gab es jede Menge Fehler aber nach dem 3. Durchlauf wurden keine mehr gemeldet.

Im nächsten Schritt habe ich das System dann mit Malwarebytes gescannt und hier nun der Bericht:

Code:
ATTFilter
mbam-log-2009-06-15 (10-19-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 98142
Laufzeit: 24 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Als nächstes folgt nun die Liste der installierten Software:

Code:
ATTFilter
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Compatibility Pack für 2007 Office System
Copy 'n' Paste 2.0 
DesignPro 5
devolo dLAN-Konfigurationsassistent
devolo EasyClean
devolo EasyShare
devolo Informer
ElsterFormular 2008/2009
EVEREST Home Edition v2.20
FileZilla Client 3.2.3.1
Foxit Reader
FreePDF XP (Remove only)
GPL Ghostscript 8.63
GTK+ Runtime 2.14.7 rev a (nur entfernen)
Hidden Finder 1.5.3
HijackThis 2.0.2
HP Print Diagnostic Utility
hp psc 700 series
Jasc Paint Shop Pro 9
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Bootvis
Microsoft Office Professional Edition 2003
Mozilla Firefox (3.0.9)
Orga-Nicer v2.4
PDF Blender
Pidgin
PSPad editor
RedMon - Redirection Port Monitor
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Sunbelt Personal Firewall
Update für Windows XP (KB967715)
VLC media player 0.9.8a
Wichtiges Update für Windows Media Player 11 (KB959772)
WinPatrol 2009
WinRAR
WinZip
         
Und zuletzt noch der Bericht von HijackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:09, on 15.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\cisvc.exe
C:\WINXP\system32\netdde.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINXP\system32\ctfmon.exe
C:\DOKUME~1\*\LOKALE~1\Temp\srcmon.exe
C:\WINXP\system32\cidaemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [System Resource Monitor] C:\DOKUME~1\Nicole\LOKALE~1\Temp\srcmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Orga-Nicer.lnk = C:\Programme\ASCOMP Software\Orga-Nicer\organicer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7277DE0-B069-4E08-AFD7-8344C6873519}: NameServer = 192.168.0.1,0.0.0.0
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

--
End of file - 3864 bytes
         
Das Trojanische Pferd wurde von Antivir in Quarantäne geschoben und scheint nun sicher aufgehoben zu sein. Muss ich noch etwas tun und wenn ja, was? Bin leider oder auch zum Glück noch nie großartig betroffen gewesen und habe deshalb überhaupt keine Erfahrung im Umgang mit den "Plagegeistern"

Ich würde mich sehr über eine oder auch mehrere kompetente Antworten freuen, damit ich mich hinter meinem Bildschirm wieder etwas sicherer fühlen kann.

Beste Grüße
Perelina

Alt 15.06.2009, 16:21   #2
john.doe
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Hallo Nicole und

1.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O2, O3, O8 und O9-Einträge
O4 - HKCU\..\Run: [System Resource Monitor] C:\DOKUME~1\Nicole\LOKALE~1\Temp\srcmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')		
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')		
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
         
=> Fix checked => Neustart

2.) Lade die Datei
Code:
ATTFilter
C:\DOKUMEmte und Einstellungen\Nicole\LOKALE Anwendungen\Temp\srcmon.exe
         
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

3.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

4.) Poste ein neues HJT-Log.

ciao, andreas
__________________

__________________

Alt 16.06.2009, 09:06   #3
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Hallo Andreas,

zunächst mal vielen Dank für deine Unterstützung. Konnte leider noch nicht früher reagieren. Jetzt habe ich zunächst die Datei srcmon.exe hochgeladen und im Anschluss den Scan mit SUPERAntiSpyware laufen lassen. Hier der Bericht:

Code:
ATTFilter
SUPERAntiSpyware Scann-Protokoll
h**p://www.superantispyware.com

Generiert 06/16/2009 bei 09:31 AM

Version der Applikation : 4.26.1004

Version der Kern-Datenbank : 0
Version der Spur-Datenbank : 1883

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:54:17

Gescannte Speicherelemente  : 385
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 4418
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 67536
Erfasste Datei-Elemente   : 0
         
Und hier nun ein weiterer Bericht von HijackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:47, on 16.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\system32\cisvc.exe
C:\WINXP\system32\netdde.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Workstation On-Demand Scanner] C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7277DE0-B069-4E08-AFD7-8344C6873519}: NameServer = 192.168.0.1,0.0.0.0
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 3378 bytes
         
Ist nun alles wieder im grünen Bereich?

Beste Grüße

Nicole
__________________

Alt 16.06.2009, 16:19   #4
john.doe
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Da hat Avira aber mächtig gepennt. 31/39 haben den erkannt und ausgerechnet Avira nicht. Dabei war das ein Banker.

Bitte alle Kennwörter von einem sauberen Rechner aus ändern.

1.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 17.06.2009, 10:43   #5
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Ich komme nicht voran. Kaspersky gibt immer folgende Fehlermeldung aus:



Das Program ist aber weder installiert, noch finde ich es irgendwo auf meiner Festplatte. Wo kann ich noch suchen und vor allem wie?

Eine Frage zum IE habe ich auch noch. Immer wenn ich diesen Thread öffne erscheint folgende Fehlermeldung:



Was hat das zu bedeuten?

Tut mir leid, dass meine Nachrichten so lange dauern aber ich arbeite mittlerweile ausschließlich auf meinem Notebook und habe nebenbei einfach nicht immer Zeit. Natürlich ist es mir sehr wichtig, dass ich meinen Rechner bald wieder einsetzen kann, weil ich nicht gerne mit dem Notebook arbeite aber der Job und meine Kunden haben Vorrang und müssen bedient werden.

An dieser Stelle möchte ich auch mal ein riesiges Lob aussprechen. Ich finde das Board wirklich großartig und die Hilfe ist selbst für Laien wie mich sehr gut beschrieben. Vielen Dank für dieses tolle Angebot!

Gruß Nicole


Alt 17.06.2009, 11:32   #6
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Wer lesen kann ist klar im Vorteil

Ich hätte Kaspersky ja gar nicht installieren sollen, sondern den Online Scanner verwenden müssen. Den bekomme ich aber auch nicht zum Laufen.

Geändert von Perelina (17.06.2009 um 12:09 Uhr)

Alt 17.06.2009, 16:07   #7
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Wer lesen kann ist klar im Vorteil

Ich hätte Kaspersky ja gar nicht installieren sollen, sondern den Online Scanner verwenden müssen.

Der Online Scanner läuft und zwar schon seit 2,5 Stunden und ist erst bei 32%. Dazu muss ich sagen, dass ich zwar eine 20Mbit Leitung habe, mein Rechner aber steinalt und sehr langsam ist. Ich nehme an, dass es sich noch einige Stunden hinziehen wird, bis ich ein Protokoll einstellen kann.

Bisher gab es jedoch schon einen Fund

Alt 17.06.2009, 16:09   #8
john.doe
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



avast! uninstall utility
Zitat:
Bisher gab es jedoch schon einen Fund
Oha.

Es zählt nicht wieviel, sondern was er wo findet.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 17.06.2009, 23:08   #9
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Hallo Andreas,

hier nun der Bericht von Kaspersky. Ich kenne mich zwar nicht aus, aber mein Bauchgefühl sagt mir, dass es nicht so gut aussieht:

Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 17. Juni 2009 23:33:52
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 17/06/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2130570
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 69212
	Viren gefunden: 1
	Infizierte Objekte gefunden: 1
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 06:27:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Vorlagen\Normal.dot	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Microsoft\Word\AutoWiederherstellen-Speicherung von Normal.as$	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\srcmon.exe	Infizierte Objekte: Trojan-Downloader.Win32.Banload.acvh	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\~DF8F43.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\~DFA305.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\~DFC600.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temporary Internet Files\Content.Word\~WRS0000.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009061720090618\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Nicole\NTUSER.DAT.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sunbelt Software\Personal Firewall\Logs\SbFw.etl	Das Objekt ist gesperrt	übersprungen
C:\Programme\Sunbelt Software\Personal Firewall\Logs\SbFwIm.etl	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\0001000D.ci	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\cicat.fid	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\INDEX.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{DC45474A-97F2-482C-9115-A44F0D12A9B6}\RP41\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\CSC\00000001	Das Objekt ist gesperrt	übersprungen
C:\WINXP\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\drivers\fidbox.dat	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\drivers\fidbox.idx	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\drivers\fidbox2.dat	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\drivers\fidbox2.idx	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINXP\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINXP\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\_restore{DC45474A-97F2-482C-9115-A44F0D12A9B6}\RP41\change.log	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\_restore{DC45474A-97F2-482C-9115-A44F0D12A9B6}\RP41\change.log	Das Objekt ist gesperrt	übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
G:\System Volume Information\_restore{DC45474A-97F2-482C-9115-A44F0D12A9B6}\RP41\change.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         
Jetzt läuft grade Prevx. Ich muss aber jetzt bald schlafen und glaub nicht, dass der Scan noch fertig wird, bis ich bettfertig bin

Alt 17.06.2009, 23:14   #10
john.doe
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Nach Prevx geht es hiermit weiter:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 17.06.2009, 23:14   #11
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Der nächste Scan ist auch fertig und es gab auch hier einen Fund.


Alt 17.06.2009, 23:16   #12
john.doe
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 17.06.2009, 23:20   #13
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Auch Prevx hat etwas gefunden:



Die Anleitungen sind wirklich super und trotzdem für mich ne ganz schöne Herausforderung. Ich werde deine Anweisungen gleich morgen früh befolgen. Jetzt habe ich nur noch eine Große Bitte an dich. Schreib mir nur kurz, ob ich beruhigt ins Bett gehen kann oder ob ich mir größere Sorgen machen muss.

Vielen Dank und gute Nacht

Alt 17.06.2009, 23:25   #14
Perelina
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Auch Prevx hat etwas gefunden:



Die Anleitungen sind wirklich super und trotzdem für mich ne ganz schöne Herausforderung. Ich werde deine Anweisungen gleich morgen früh befolgen. Jetzt habe ich nur noch eine Große Bitte an dich. Schreib mir nur kurz, ob ich beruhigt ins Bett gehen kann oder ob ich mir größere Sorgen machen muss.

Vielen Dank und gute Nacht

ups, doppelt gepostet und weiß nicht wie man löschen kann

Alt 17.06.2009, 23:25   #15
john.doe
 
Fund: TR/Agent.uss - Standard

Fund: TR/Agent.uss



Das ist ein Banker, der liest Kennwörter aus und versucht alles zu stehlen, das er finden kann. Lasse bitte CCleaner noch laufen, dann kannst du beruhigt ins Bett gehen. Deine Kennwörter hast du ja hoffentlich schon alle geändert.



Gute Nacht, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Fund: TR/Agent.uss
.dll, 0 bytes, antivir, avg, avgnt.exe, bildschirm, entfernen, excel, fehler, firefox, flash player, hkus\s-1-5-18, home, internet, internet explorer, logon.exe, modul, nt.dll, problem, programme, prozesse, registrierungsschlüssel, registry, sched.exe, services.exe, software, suchlauf, svchost.exe, verweise, virus, virus gefunden, warnung, was tun, windows, windows internet, windows internet explorer, winlogon.exe, wuauclt.exe




Ähnliche Themen: Fund: TR/Agent.uss


  1. Malwarebytes Fund: Trojan.Agent C:\Windows\SysWOW64\SVKP.sys
    Log-Analyse und Auswertung - 22.08.2015 (15)
  2. Trojan Agent - Fund von Malwarebytes
    Log-Analyse und Auswertung - 22.12.2014 (16)
  3. WIN7: Avira meldet Fund tr/agent.143516.1
    Log-Analyse und Auswertung - 20.10.2013 (10)
  4. Trojan.Agent.Gen Fund von MBAM
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (1)
  5. Avira meldet Fund - Agent.depg.1 (Trojan)
    Plagegeister aller Art und deren Bekämpfung - 03.08.2012 (34)
  6. Virenscan folgender fund TR/Agent.fcv und weiterleitung bei google auf rocketnews
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (13)
  7. EXP/Agent.AG Fund
    Log-Analyse und Auswertung - 01.10.2011 (32)
  8. Trojaner Fund-Java Agent?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2011 (1)
  9. Avira Fund: Trojaner TR/Agent.49152.BE
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (1)
  10. Antivir-Fund 'spy.agent.bejq'
    Plagegeister aller Art und deren Bekämpfung - 30.03.2010 (8)
  11. trojaner fund - TR/Agent.2370715
    Log-Analyse und Auswertung - 22.02.2010 (1)
  12. Antivir Fund TR/Agent.AI.1742
    Log-Analyse und Auswertung - 29.01.2010 (9)
  13. Avira Fund TR/Agent.caaj B
    Log-Analyse und Auswertung - 18.05.2009 (4)
  14. Fund: TR/PSW.Agent.mrh
    Log-Analyse und Auswertung - 13.04.2009 (0)
  15. Frage bzgl. Fund: CC/Agent.FJ in madChook.dll
    Plagegeister aller Art und deren Bekämpfung - 02.02.2008 (1)
  16. Trojaner Fund : TR/Dldr.Agent.drw
    Log-Analyse und Auswertung - 23.10.2007 (1)
  17. AntiVir meldet Zlob und DR/Agent Fund
    Log-Analyse und Auswertung - 17.02.2007 (4)

Zum Thema Fund: TR/Agent.uss - Hallo zusammen... Ich bin hier schon lange registriert, konnte mir aber bisher immer selbst helfen und fand zu jedem Problem einen passenden Thread. Nun ist es leider anders und ich - Fund: TR/Agent.uss...
Archiv
Du betrachtest: Fund: TR/Agent.uss auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.