Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.08.2009, 21:34   #1
Mike1
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



Hallo!

Es hat mich letztes Wochenende erwischt, ich habe mir die Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen eingefangen.

Avira hat in folgenden Dateien immer wieder beim Hochfahren Aktivitäten gefunden:
c:\users\xxx\appdata\local\temp\123.exe - der Dateiname ist bei jedem Computerstart ein anderer, besteht aber immer aus Zahlen.
Außerdem wird eine Infektion auf c:\users\xxx\appdata\local\microsoft\windows\temporary internet files\Content.IE5\irgendeinsubordner\cuda(1).exe festgestellt.

Heute hat er zusätzlich den TR/Dropper.gen im c:\recycler\xxx\twain_x86.exe gefunden.
Malwarebytes findet nichts mehr, auch Avira findet im vollständigen Scan mit hoher Heurisik keine Auffälligkeiten.
Gerade jetzt beim Hochfahren hat er die üblichen drei Fundmeldungen nicht mehr gebracht, das macht mich jetzt doppelt unsicher.

Ich bitte euch um Hilfe! Hier mein Hijack-File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:33, on 27.08.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\EuroKass\EuroKass.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4266 bytes


mfg, Michael

Alt 29.08.2009, 23:48   #2
kira
/// Helfer-Team
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
- Lade dir RSIT - Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
  • - also lade Dir Gmer herunter
    - entpacke es auf deinen Desktop und Starte gmer.exe<-hier "umbenannt.com".
    - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft!
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow
__________________


Alt 31.08.2009, 12:12   #3
Mike1
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



Hi Coverflow!

Herzlichen Dank, dass du dich meines Problemes annimmst.
Es hat etwas gedauert, da ich mit dem Hochladen der Protokolle nicht zurecht gekommen bin ( das Forum lässt mich nur 25000 Zeichen einfügen, das ist sich bei keinem der Protokolle ausgegangen, ich habe sie jetzt bei File-Upload.net hochgeladen...

Punkt1: habe ich eingestellt

Punkt2:
Info:
http://www.file-upload.net/download-1858496/info.txt.html

Log:
http://www.file-upload.net/download-1858498/log.txt.html


Punkt 3:
Installierte Programme:
http://www.file-upload.net/download-1858505/installierte_programme.txt.html

Punkt 4 + 5 folgt in Kürze

Dank, lg Michi
__________________

Alt 31.08.2009, 13:10   #4
Mike1
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



So, hier Punkt 4:

Code:
ATTFilter
GMER 1.0.15.15077 [testkit.com] - http://www.gmer.net
Rootkit quick scan 2009-08-31 12:21:44
Windows 6.0.6002 Service Pack 2


---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0  sector 01: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 02: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 03: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 04: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 05: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 06: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 07: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 08: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 09: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 10: rootkit-like behavior; copy of MBR
Disk  \Device\Harddisk0\DR0  sector 11: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 12: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 13: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 14: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 15: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 16: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 17: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 18: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 19: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 20: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 21: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 22: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 23: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 24: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 25: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 26: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 27: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 28: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 29: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 30: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 31: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 32: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 33: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 34: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 35: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 36: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 37: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 38: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 39: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 40: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 41: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 42: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 43: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 44: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 45: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 46: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 47: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 48: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 49: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 50: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 51: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 52: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 53: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 54: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 55: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 56: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 57: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 58: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 59: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 60: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 61: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 62: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----
         
Punkt 5:
no hidden items were found

Code:
ATTFilter
08/31/09 12:22:29 [Info]: BlackLight Engine 2.2.1092 initialized
08/31/09 12:22:29 [Info]: OS: 6.0 build 6002 (Service Pack 2)
08/31/09 12:22:29 [Note]: 7019 4
08/31/09 12:22:29 [Note]: 7005 0
08/31/09 12:22:33 [Note]: 7006 0
08/31/09 12:22:33 [Note]: 7027 0
08/31/09 12:22:33 [Note]: 7035 0
08/31/09 12:22:34 [Note]: 7026 0
08/31/09 12:22:34 [Note]: 7026 0
08/31/09 12:22:36 [Note]: FSRAW library version 1.7.1024
08/31/09 12:22:40 [Note]: 4015 167633
08/31/09 12:22:40 [Note]: 4027 167633 131072
08/31/09 12:22:40 [Note]: 4020 167632 131072
08/31/09 12:22:40 [Note]: 4018 167632 131072
08/31/09 12:22:56 [Note]: 4015 43736
08/31/09 12:22:56 [Note]: 4027 43736 786432
08/31/09 12:22:56 [Note]: 4020 39281 5242880
08/31/09 12:22:56 [Note]: 4022 39281
08/31/09 12:23:07 [Note]: 4015 5501
08/31/09 12:23:07 [Note]: 4027 5501 196608
08/31/09 12:23:07 [Note]: 4020 511 131072
08/31/09 12:23:07 [Note]: 4018 511 131072
08/31/09 12:23:09 [Note]: 4015 1428
08/31/09 12:23:09 [Note]: 4027 1428 65536
08/31/09 12:23:09 [Note]: 4020 1425 65536
08/31/09 12:23:09 [Note]: 4018 1425 65536
08/31/09 12:23:14 [Note]: 4015 1609
08/31/09 12:23:14 [Note]: 4027 1609 65536
08/31/09 12:23:14 [Note]: 4020 563 65536
08/31/09 12:23:14 [Note]: 4018 563 65536
08/31/09 12:23:16 [Note]: 4015 1690
08/31/09 12:23:16 [Note]: 4027 1690 65536
08/31/09 12:23:16 [Note]: 4020 1609 65536
08/31/09 12:23:16 [Note]: 4018 1609 65536
08/31/09 13:02:28 [Note]: 7007 0
         

Alt 31.08.2009, 16:45   #5
kira
/// Helfer-Team
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



hi

1.
Jedes Speichermedium (wie USB-Sticks/Platten usw ) bitte anschließen und dabei die [SHIFT]-Taste gedrückt halten!
Lade dir FindyKill.exe von hier herunter und speichere die Datei auf dem Desktop.
  • Doppelklick auf die Datei, um FindyKill -> installieren
  • akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill).
  • Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.
  • Doppelklicke das FindyKill-Icon auf dem Desktop.
  • Vista-User starten mit Rechtsklick und als Administrator!
  • Es öffnet sich ein DOS-Fenster.
  • Wähle "F" + Entertaste,
  • im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
  • Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
  • Es wird eine Datenträgerbereinigung durchgeführt.
  • Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
  • Das Fenster schließen.
  • Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.
2.
Malwarebytes Anti-Malware :
Poste das Ergebnis hier in den Thread

3.
Master Boot Record überprüfen:
  • Lade Dir die MBR.exe von GMER herunter
  • Speichere auf deinem Desktop
  • Per Doppelklick starten.
  • wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

4.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans


Alt 31.08.2009, 18:28   #6
Mike1
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



Servus!

1.:
Code:
ATTFilter
############################## | FindyKill V5.006 |

# User : Michael (Administratoren) # MICHAEL-PC
# Update on 14/08/09 by Chiquitine29
# Start at: 17:25:10 | 31.08.2009
# Website : hxxp://pagesperso-orange.fr/NosTools/index.html

# AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
# Microsoft® Windows Vista™ Ultimate  (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18813
# Windows Firewall Status : Enabled

# C:\ # Lokale Festplatte # 698.63 Go (353.45 Go free) # NTFS
# D:\ # CD # 1.62 Go (0 Mo free) [EVERLIGHT] # UDF
# E:\ # Lokale Festplatte # 232.88 Go (7.86 Go free) [250 GB] # NTFS
# F:\ # Lokale Festplatte # 186.31 Go (89.36 Go free) [200 GB] # NTFS
# G:\ # Lokale Festplatte # 298.08 Go (14.28 Go free) [SATA] # NTFS
# H:\ # CD
# I:\ # Wechseldatenträger # 7.47 Go (6.05 Go free) [8GB-STICK] # NTFS
# J:\ # Wechseldatenträger

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Bluetooth Software\bin\btwdins.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |

(!) Non supprimé ! D:\autorun.inf 

################## | C:\Windows |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-9432A083.pf  

################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Michael\AppData\Roaming |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_171-2101_Patch.exe""  
05.07.2008 20:57 |Size 1783431487 |Crc32 a5a9b3bd |Md5 487c38028635c4c22347d7818805efe4  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_171-2101_Patch.exe.resume""  
05.07.2008 20:57 |Size 552 |Crc32 a14a9d58 |Md5 9bd551b40a0e36bfcfe84ddded7b3655  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2100_2101_Patch.exe""  
28.12.2008 21:56 |Size 4801036 |Crc32 1449f58e |Md5 da19255164460709d9051e9185d9cc86  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2100_2101_Patch.exe.resume""  
28.12.2008 21:56 |Size 552 |Crc32 925bc3e3 |Md5 3886a351c5ce7e2f13fe9c045cbae055  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2101_2201_Patch.exe""  
05.07.2008 21:55 |Size 47201402 |Crc32 32208aa7 |Md5 5c6bde710e9b7ac033e75c48a6c5609f  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2101_2201_Patch.exe.resume""  
05.07.2008 21:55 |Size 552 |Crc32 d15e450f |Md5 383a8279ab80ab6455137835e181814a  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2201_2202_Patch.exe""  
05.07.2008 22:11 |Size 8250455 |Crc32 f7053f20 |Md5 b90974dc3c05339ad2b9364037ba6056  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2201_2202_Patch.exe.resume""  
05.07.2008 22:11 |Size 552 |Crc32 66fb0b71 |Md5 ad0c0c29c2aab21fb9090fc581754e1d  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2202_2300_Patch.exe""  
05.07.2008 22:18 |Size 42019073 |Crc32 35b122ed |Md5 643d0785ff041e1e225c7ba90fc2a98d  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2202_2300_Patch.exe.resume""  
05.07.2008 22:18 |Size 552 |Crc32 da09b0d6 |Md5 fe4b5d127f0fb51bfaf7f6e12805d116  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2300_2301_Patch.exe""  
06.07.2008 08:34 |Size 81703264 |Crc32 393c859d |Md5 75a4b0f339c2eabcdfb47c1b716ca331  
 
"C:\Users\Michael\Documents\My Games\Company of Heroes\Patch\"DE_2300_2301_Patch.exe.resume""  
06.07.2008 08:34 |Size 552 |Crc32 a3033815 |Md5 c9b6aaafe1641264d16d1c27e822a583  
 
 

################## | ! Fin du rapport # FindyKill V5.006 ! |
         
2.:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2700
Windows 6.0.6002 Service Pack 2

31.08.2009 18:11:42
mbam-log-2009-08-31 (18-11-42).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 82514
Laufzeit: 5 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
3.:
Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
bin ich ihn los? :-) ich bin schon guter Hoffnung

lg, Michi

Alt 01.09.2009, 06:44   #7
Mike1
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



so, den Virenscan habe ich nach 6 Stunden Laufzeit abgeschlossen.
Der Kaspersky wollte mir aber kein Protokoll geben, da ich nur die Schaltfläche "Untersuchung Beenden" zur Auswahl hatte.
Was ich aus dem Fenster kopieren konnte, poste ich hier.

Code:
ATTFilter
  Update der Antiviren-Datenbanken [100%]:
(Download und Installation der aktuellen Antiviren-Datenbanken von Kaspersky Lab)  
 
                                                                                  
 
 
Bitte warten Sie, bis das Update der Antiviren-Dateien abgeschlossen wird...
Download von Adresse: http://dnl-07.geo.kaspersky.com
Download einer Remote-Datei: master.xml
Das Update wurde abgeschlossen. Die Untersuchung kann beginnen. 
Weiter       
  Bitte wählen Sie ein Untersuchungsobjekt aus:
Klicken Sie auf die Schaltfläche "Scan-Einstellungen", um die Parameter der Antiviren-Untersuchung anzupassen.  
 
   
  
 Wichtige Objekte
 Wichtige Objekte Ihrer Festplatte untersuchen, die sich in den Systemvariablen %windir% und %tmp% befinden; 
 Memory 
 scan disk modules of running processes 
 Arbeitsplatz
 alle Festplatten und Netzlaufwerke untersuchen 
 E-Mail
 nur Objekte mit den Erweiterungen *.PST; *.MSG; *.OST; *.MDB; *.DBX; *.EML; *.MBS untersuchen, die sich auf Festplatten und Netzlaufwerken befinden 
 Ordner...
 die ausgewählten Ordner untersuchen 
 Datei...
 eine Datei untersuchen 
 
  
   
 
  
Achtung: Beim Start des Kaspersky Online-Scanners können Probleme auftreten, wenn auf Ihrem Computer eine andere Antiviren-Anwendung gestartet wurde. Wenn Sie ein anderes Antiviren-Programm installiert haben, schalten Sie vor dem Start des Kaspersky Online-Scanners bitte das andere Programm ab.  
  Ausgewähltes Objekt: Arbeitsplatz
Quelle: C:\; D:\; E:\; F:\; G:\; H:\; J:\;  
 
 
Das Protokoll ist leer.  
Bitte beachten Sie: Der kostenlose Kaspersky Online-Scanner gewährleistet keinen vollständigen Schutz und kann zukünftige Infektionen nicht verhindern. Er erkennt nur schädliche Programme, die bereits in Ihr System eingedrungen sind. Wir empfehlen Ihnen ausdrücklich, eine vollfunktionale Antiviren-Lösung zu installieren, um Ihren Computer umfassend zu schützen.  
 
Bitte warten Sie. Abhängig von den ausgewählten Objekten kann die Operation einige Zeit in Anspruch nehmen. Wenn Sie die Arbeit mit dem Browser fortsetzen möchten, öffnen Sie ein neues Fenster.  
 
Untersucht [90%]:
                                                                                                                                 
 
 
 
 
Untersuchte Objekte insgesamt: 493701 
Viren gefunden: 1 
Infizierte Objekte gefunden: 2 
Verdächtige Objekte gefunden: 0 
Untersuchungszeit: 06:10:07 
Untersuchung beenden  
 
 
  
 
 
  
   
    
   Kostenlose Testversion erhalten


Kaspersky Anti-Virus kaufen 
 
  
  Hilfe 
 
  
  Viren-Enzyklopädie


Kaspersky Lab 
 
 
  
   
 
   
 Über das Produkt
Kaspersky Online Scanner Version 5.0.98.2 . Die aktuelle Version der Antiviren-Datenbanken von Montag, 31. August 2009  enthält 2732386 Einträge.

Über das System
Betriebssystem: Microsoft Windows Vista Professional, Service Pack 2 (Build 6002)Bitte warten Sie, bis die Initialisierung und das Update von Kaspersky Online Scanner abgeschlossen werden...
         
Also einen findet er noch, ich weiß aber nicht genau, wo

Alt 05.09.2009, 01:08   #8
kira
/// Helfer-Team
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



hi

so werd ich nicht schlau
Code:
ATTFilter
Viren gefunden: 1 
Infizierte Objekte gefunden: 2
         
1.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...
danach deinstalliere:
`Start→ Systemsteuereung→ Programme und Funktionen...
Code:
ATTFilter
Java(TM) 6 Update 13
Java(TM) 6 Update 7
         
2.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne GMER und F-Secure
- deinstalliere Malwarebytes' Anti-Malware
- FindyKill deinstallieren:
-Doppelklicke das FindyKill-Icon auf dem Desktop.- mit Rechtsklick und als Administrator ausführen!
- Es öffnet sich ein DOS-Fenster wähle "F" + Entertaste
- im nächsten Screen die "3" + Entertaste, um die Deinstallation zu starten.
- lösche den Ordner C:\Programme\FindyKill und die Datei C:\findykill.txt manuell und leere den Papierkorb.

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Geändert von kira (05.09.2009 um 01:14 Uhr)

Alt 26.09.2009, 18:04   #9
Mike1
 
Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Standard

Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen



Hallo!

Sorry, dass ich mich auf deine Hilfestellung so lange nicht gemeldet habe, ich war drei Wochen auf Urlaub...

Hier ist der Scanbericht von Superantispyware:
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/26/2009 at 04:50 PM

Application Version : 4.29.1002

Core Rules Database Version : 4125
Trace Rules Database Version: 2064

Scan type       : Complete Scan
Total Scan Time : 01:00:46

Memory items scanned      : 578
Memory threats detected   : 0
Registry items scanned    : 6961
Registry threats detected : 0
File items scanned        : 53120
File threats detected     : 10

Adware.Tracking Cookie
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@track.adform[2].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@bs.serving-sys[2].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@atdmt[1].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@serving-sys[2].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@mediaplex[1].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@adtech[2].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@doubleclick[2].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@jobmedia.kurier[2].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@apmebf[1].txt
	C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Cookies\Low\michael@msnportal.112.2o7[1].txt
         
ich denke, ich bin mein Problem los.

Durch das Umstellen des Virenscanners auf hohe Heuristik hat er eine Datei zusätzlich im Papierkorb gefunden. Nach Entfernung dieser sind auch die beiden TR/.. nicht mehr erneut gekommen.


Vielen vielen Dank für deine kompetente Hilfe!

lg, Michael

Antwort

Themen zu Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen
adobe, antivir, antivir guard, avg, bho, content.ie5, defender, desktop, explorer, hijackthis, immer wieder, internet, internet explorer, local\temp, microsoft, nvidia, programme, rundll, scan, software, system, temp, tr/dropper.gen, trojaner, vista, windows, wmp



Ähnliche Themen: Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen


  1. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  2. tr dropper.gen und JAVA/Dldr.Agent.D
    Log-Analyse und Auswertung - 13.07.2010 (9)
  3. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  4. Verschiedene Trojaner: Dldr.A.hlx, Ertfor.A.45, Dropper.Gen
    Log-Analyse und Auswertung - 27.04.2010 (4)
  5. Mehrere Trojaner Meldungen 'TR/Dldr.Agent.yla' [trojan] 'TR/Dropper.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.03.2009 (19)
  6. Was (noch) tun: TR/Dldr.Agent, TR/Spy.Agent, TR/Dldr.Injecter und Trojan.Packed.191
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (5)
  7. 'TR/Dldr.Agent.acaa' und 'TR/Dropper.Gen'
    Log-Analyse und Auswertung - 28.08.2008 (2)
  8. Trojaner TR/Dldr.Agent.khj ??? Was tun ???
    Log-Analyse und Auswertung - 16.03.2008 (0)
  9. hilfe TR/Dldr.Agent.gzp , DR/Dldr.Agent.fwr.1 kriege sie nicht runter
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)
  10. Trojaner Entfernen TR/Dldr.Agent.fiv
    Log-Analyse und Auswertung - 30.11.2007 (3)
  11. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  12. Trojaner TR/Dldr.agent.td.52
    Plagegeister aller Art und deren Bekämpfung - 22.01.2006 (9)
  13. trojaner tr/dldr.agent.a
    Plagegeister aller Art und deren Bekämpfung - 12.12.2005 (4)
  14. Trojaner TR/Dldr.Agent.TV.9
    Plagegeister aller Art und deren Bekämpfung - 21.10.2005 (14)
  15. Trojaner Tr/dLdr.agent.bc.7
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (1)
  16. Merkwürdiger Trojaner :D (tr/dldr.agent.cb)
    Plagegeister aller Art und deren Bekämpfung - 04.02.2005 (7)
  17. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)

Zum Thema Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen - Hallo! Es hat mich letztes Wochenende erwischt, ich habe mir die Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen eingefangen. Avira hat in folgenden Dateien immer wieder beim Hochfahren Aktivitäten gefunden: c:\users\xxx\appdata\local\temp\123.exe - der - Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen...
Archiv
Du betrachtest: Trojaner TR/Dldr.Agent.cwi und TR/Dropper.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.