| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Trojan.Agent" kann nicht entfernt werdenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
01.11.2009, 20:25
| #1 |
 |  "Trojan.Agent" kann nicht entfernt werden Servus an alle Helfer, kann o.a. Trojaner leider nicht entfernen und suche um Rat. Folgende Programme (jeweils aktuellste Version) habe ich durchlaufen lassen: Free AV: keine Funde Adaware: keine Funde Spybot: keine Funde Malwarebytes Antimalware: 5 Funde (siehe unten) leider konnten sämtliche Funde nach mehrmaligen Neustarts nicht entfernt werden. Bitte um eure Hilfe, Danke! ****************************************** Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3080 Windows 6.0.6000 01.11.2009 20:13:49 mbam-log-2009-11-01 (20-13-49).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 107965 Laufzeit: 6 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 2 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Users\***\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot. C:\Users\***\AppData\Roaming\m\shared (Trojan.Agent) -> Delete on reboot. Infizierte Dateien: C:\Users\***\AppData\Roaming\m\shared\Docsmartz Professional (Trojan.Agent) -> Delete on reboot. C:\Users\***\AppData\Roaming\m\shared\Perfect Day (Trojan.Agent) -> Delete on reboot. C:\Users\***\AppData\Roaming\m\shared\Pompolic (Trojan.Agent) -> Delete on reboot. ****************************************** |
|
01.11.2009, 20:46
| #2 |
| /// AVZ-Toolkit Guru   | "Trojan.Agent" kann nicht entfernt werden Nabend Pipo.
__________________Arbeite bitte das hier ab: http://freenet-homepage.de/rene-gad/...Anleitung.html Die .zip Archive von AVZ lade bitte bei rapidshare hoch und poste den downloadlink. Das HjT log kannst du direkt posten.
__________________ |
|
04.11.2009, 18:52
| #3 |
| | "Trojan.Agent" kann nicht entfernt werden Hab jetzt alles durch.
__________________Die "Hosts file" Listen von AVZ habe ich gelöscht. h**p://rapidshare.de/files/48632736/virusinfo_syscheck.zip.html h**p://rapidshare.de/files/48632754/virusinfo_syscure.zip.html Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:04:18, on 03.11.2009 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16916) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\mobsync.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Skype\Phone\Skype.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\WIBUKEY\Server\WkSvMgr.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Suchen R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [Hofer_FotoSuite_Download] "C:\Program Files\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\iexplore.exe.exe" /runcleanupscript O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'Default user') O4 - Global Startup: Netzwerk Server.lnk = C:\Program Files\WIBUKEY\Server\WkSvMgr.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://intertops.gameassists.co.uk/IntertopsDe/FlashAX2.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\Hofer Foto Service\Common\Database\bin\fbserver.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c995f798755c0b) (gupdate1c995f798755c0b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe -- End of file - 9157 bytes |
|
04.11.2009, 19:30
| #4 | |
| /// AVZ-Toolkit Guru | "Trojan.Agent" kann nicht entfernt werdenZitat:
Ich hoffe du hast nicht irgendetwas selbstständig gelöscht? Wie ich sehe hast du AdAware installiert? Und das auch noch zwischen beiden AVZ scans? Warum tust du sowas? Bitte mache ab jetzt nichts mehr ohne, dass du Anweisung von uns dazu bekommen hast. Ansonsten geht das hier drunter und drüber. Führe bitte folgendes AVZ-Skript aus: Code:
ATTFilter begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\', '*.tmp*', true);
DeleteFile('C:\Windows\system32\Drivers\utqzntix.sys');
DeleteFile('C:\Windows\Installer\300e829.msi');
DeleteFile('E:\autorun.inf');
DelBHO('2670000A-7350-4f3c-8081-5663EE0C6C49');
DelBHO('7F9DB11C-E358-4ca6-A83D-ACC663939424');
DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelBHO('DFB852A3-47F8-48C4-A200-58CAB36FD2A2');
DelCLSID('911051fa-c21c-4246-b470-070cd8df6dc4');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
BC_Activate;
RebootWindows(true);
end.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
05.11.2009, 16:30
| #5 |
| | "Trojan.Agent" kann nicht entfernt werden Wie? Was hast du wie gemacht? >>> Ich habe die "Hosts file" Listen nur im Auswertungs-Log (=I-Net-Historie) gelöscht, in den Programmeinstellungen selbstverständlich nichts. Ich hoffe du hast nicht irgendetwas selbstständig gelöscht? >>> s.o. Wie ich sehe hast du AdAware installiert? Und das auch noch zwischen beiden AVZ scans? >>> sicher nicht. Warum tust du sowas? >>> s.o. Bitte mache ab jetzt nichts mehr ohne, dass du Anweisung von uns dazu bekommen hast. Ansonsten geht das hier drunter und drüber. >>> ja, werde ich mir zu Herzen nehemen, habe ausser den "Hosts file" Listen auch sonst nichts gegenteiliges gemacht. 1-Script habe ich erfolgreich ausgeführt 2-autom. Neustart 3-Beschreibung meines Computerzustandes: Danach habe ich Malware´s Antimalwarescan durchgeführt und es wurden wieder 5 Einträge gefunden. Bitte um Hilfe. Danke! Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3103 Windows 6.0.6000 05.11.2009 08:43:51 mbam-log-2009-11-05 (08-43-51).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 110923 Laufzeit: 6 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 2 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Users\***\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot. C:\Users\***\AppData\Roaming\m\shared (Trojan.Agent) -> Delete on reboot. Infizierte Dateien: C:\Users\***\AppData\Roaming\m\shared\Docsmartz Professional (Trojan.Agent) -> Delete on reboot. C:\Users\***\AppData\Roaming\m\shared\Perfect Day (Trojan.Agent) -> Delete on reboot. C:\Users\***\AppData\Roaming\m\shared\Pompolic (Trojan.Agent) -> Delete on reboot. |
|
05.11.2009, 16:37
| #6 |
| /// AVZ-Toolkit Guru | "Trojan.Agent" kann nicht entfernt werden Ich raffe nicht was du gemacht hast. Hast du nachdem das log erstellt wurde in der log Datei selbst die Host File Einträge verändert? Das ist garnicht gut, denn wenn die Host Datei infiziert ist dann muss ich das sehen können. Ansonsten kann ich dir nicht helfen. Poste bitte zwei frische logs wie es in der AVZ Anleitung beschrieben wird und hänge diese an deinen nächsten Post an. Verändere nichts an irgendwelchen Host Dateien oder Internet Verläufen und verändere erst Recht keine log Dateien!
__________________ --> "Trojan.Agent" kann nicht entfernt werden |
|
05.11.2009, 16:43
| #7 |
| | "Trojan.Agent" kann nicht entfernt werden Soll ich die original-Logs hochladen oder den gesamten 3-Tages Scan noch einmal beginnen? |
|
| Themen zu "Trojan.Agent" kann nicht entfernt werden |
| anti-malware, antimalware, appdata, bösartige, dateien, entferne, entfernen, entfernt, folge, folgende, helfer, kann nicht entfernt werden, konnte, minute, professional, programme, registrierungsschlüssel, roaming, servus, shared, suche, sämtliche, troja, trojan.agent, trojaner, version |
Hybrid-Darstellung
