Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.12.2009, 15:27   #1
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hallo,

ich habe ein Problem und bin einigermaßen hilflos, weil ich mich mit Computern nicht so gut auskenne. Seit ein paar Tagen meldet sich mein Avira Antivir mit der Meldung, dass ein Trojaner meinen Rechner infiziert hat. Der Name:

TR/Drop.Agen.YUI.74

Weitere Infos kann mir weder Antivir noch Google geben. Das Problem ist, dass sich der Trojaner nicht löschen lässt, das Virenprogramm springt fast sekündlich an, aber egal wie oft ich auf löschen klicke, der Trojaner bleibt. Mir bleibt nichts anderes übrig, als den Virenscanner auszuschalten um den Rechner weiterbenutzen zu können.
Der Trojaner hat sich in einer .dll-Datei festgesetzt, die ich auch nicht löschen kann, weil sie wohl permanent benutzt wird.

Hier meine Syteminfos:

Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname ******
Systemhersteller Hewlett-Packard
Systemmodell HP 550
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 22 Stepping 1 GenuineIntel ~1994 Mhz
BIOS-Version/-Datum Hewlett-Packard 68MVU Ver. F.06, 25.02.2009
SMBIOS-Version 2.4
Windows-Verzeichnis C:\windows
Systemverzeichnis C:\windows\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername *****\****
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 3.072,00 MB
Verfügbarer realer Speicher 2,07 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 4,83 GB
Auslagerungsdatei C:\pagefile.sys


Ich habe auch Maleware drüberlaufen lassen. Da wurde zwar ein Schädling angezeigt, der (angeblich) auch gelöscht wurde, aber das Problem blieb auch danach bestehen.

Es wäre toll, wenn mir jemand helfen könnte.

Alt 11.12.2009, 15:45   #2
Moritz009
 

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hallo und

Zitat:
Der Name:TR/Drop.Agen.YUI.74
Bitte bei Schädlingen immer die genauen Pfadangaben posten. (z.B. "C:\Windows\System32\Beispiel.exe"

Bitte außerdem diese Liste beachten und abarbeiten. Zudem die unter Punkt 2 anfallenden Logs hier posten.
__________________

__________________

Alt 11.12.2009, 16:12   #3
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hallo Moritz,

hier der genaue Pfad:

C:\Dokumente und Einstellungen\benutzer\lokale einstellungen\temp\12714xxx.ddl

hier Maleware-Log:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3341
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.12.2009 15:55:55
mbam-log-2009-12-11 (15-55-55).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 251284
Laufzeit: 1 hour(s), 17 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{B90DDB75-B780-4A65-ABF6-AFB1F01B32ED}\RP126\A0033495.exe (Malware.Tool) -> Quarantined and deleted successfully.

Hier RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by christian at 2009-12-11 17:05:32
Microsoft Windows XP Professional Service Pack 3
System drive C: has 73 GB (48%) free of 153 GB
Total RAM: 3063 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:05:40, on 11.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\windows\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\windows\system32\FsUsbExService.Exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\windows\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\uTorrent\uTorrent.exe
C:\windows\System32\svchost.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\windows\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\******\Desktop\RSIT.exe
C:\Programme\trend micro\*****.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [ImpulseFastStart] "C:\Programme\Stardock\Impulse\Impulse.exe" /fastload
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1245004433097
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1245005544312
O20 - AppInit_DLLs: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\12714xxx.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FsUsbExService - Teruten - C:\windows\system32\FsUsbExService.Exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9423 bytes

======Scheduled tasks folder======

C:\windows\tasks\Ad-Aware Update (Weekly).job
C:\windows\tasks\OGALogon.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
AskBar BHO - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-06-29 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-25 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2008-03-27 1040384]
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2006-07-13 729088]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-05-22 141848]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-05-22 166424]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-05-22 137752]
"hpWirelessAssistant"=C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [2008-04-15 488752]
"QlbCtrl.exe"=C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe [2008-06-03 177456]
"SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2007-01-05 872448]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-06-29 198160]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"NPSStartup"= []
"PWRISOVM.EXE"=C:\Programme\PowerISO\PWRISOVM.EXE [2009-07-27 180224]
"WinampAgent"=C:\Programme\Winamp\winampa.exe [2009-07-01 37888]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-25 149280]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-09-05 417792]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-09-08 305440]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\windows\system32\ctfmon.exe [2008-04-14 15360]
"ImpulseFastStart"=C:\Programme\Stardock\Impulse\Impulse.exe [2008-10-14 1717616]
"DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656]
"AutoStartNPSAgent"=C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe [2009-06-08 102400]
"msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
VPN Client.lnk - C:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico

C:\Dokumente und Einstellungen\christian\Startmenü\Programme\Autostart
OpenOffice.org 3.1.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\12714xxx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\windows\system32\igfxdev.dll [2008-03-17 208896]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser"
"C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Civilization4.exe"="C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 Complete"
"C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Warlords\Civ4Warlords.exe"="C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Warlords\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4: Warlords"
"C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Beyond the Sword\Civ4BeyondSword.exe"="C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Beyond the Sword\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4: Beyond the Sword"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe"="C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server"
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe"="C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\PPStream\PPStream.exe"="C:\Programme\PPStream\PPStream.exe:*:Enabled:PPSÍøÂçµçÊÓ"
"C:\Programme\PPStream\PPSAP.exe"="C:\Programme\PPStream\PPSAP.exe:*:Enabled:PPS ÍøÂç¼ÓËÙÆ÷"
"C:\Programme\TVAnts\Tvants.exe"="C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2009-12-11 17:05:32 ----D---- C:\rsit
2009-12-11 17:05:32 ----D---- C:\Programme\trend micro
2009-12-10 22:36:37 ----D---- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Malwarebytes
2009-12-10 22:36:32 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-12-10 22:36:32 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-09 15:14:42 ----HDC---- C:\windows\$NtUninstallKB970430$
2009-12-09 15:14:38 ----HDC---- C:\windows\$NtUninstallKB974318$
2009-12-09 15:14:16 ----HDC---- C:\windows\$NtUninstallKB973904$
2009-12-09 15:13:54 ----HDC---- C:\windows\$NtUninstallKB974392$
2009-12-09 15:13:48 ----HDC---- C:\windows\$NtUninstallKB971737$
2009-12-08 13:25:00 ----D---- C:\Programme\CCleaner
2009-12-08 13:23:01 ----A---- C:\windows\system32\lsdelete.exe
2009-12-08 11:26:00 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-08 11:25:46 ----D---- C:\Programme\Lavasoft
2009-12-08 11:25:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-11-30 16:09:08 ----D---- C:\windows\Internet Logs
2009-11-30 16:08:39 ----A---- C:\windows\system32\dneinobj.dll
2009-11-30 16:08:18 ----D---- C:\Programme\Gemeinsame Dateien\Deterministic Networks
2009-11-30 16:08:16 ----D---- C:\Programme\Cisco Systems
2009-11-25 09:31:01 ----HDC---- C:\windows\$NtUninstallKB976098-v2$
2009-11-25 09:30:52 ----HDC---- C:\windows\$NtUninstallKB973687$
2009-11-22 16:01:17 ----D---- C:\Programme\TVAnts
2009-11-22 15:59:18 ----D---- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\ppstream
2009-11-22 15:59:14 ----D---- C:\Programme\PPStream

======List of files/folders modified in the last 1 months======

2009-12-11 17:05:40 ----D---- C:\windows\Prefetch
2009-12-11 17:05:32 ----RD---- C:\Programme
2009-12-11 17:01:41 ----D---- C:\Programme\Mozilla Firefox
2009-12-11 17:01:17 ----D---- C:\windows\Temp
2009-12-11 17:01:17 ----D---- C:\windows\Debug
2009-12-11 17:01:17 ----D---- C:\WINDOWS
2009-12-11 16:46:00 ----D---- C:\Torrent
2009-12-11 16:02:08 ----D---- C:\windows\system32
2009-12-11 16:02:07 ----A---- C:\windows\system32\PerfStringBackup.INI
2009-12-11 16:00:28 ----SD---- C:\windows\Tasks
2009-12-11 15:58:14 ----D---- C:\windows\system32\CatRoot2
2009-12-11 15:57:17 ----D---- C:\windows\system32\drivers
2009-12-11 15:56:38 ----N---- C:\windows\SchedLgU.Txt
2009-12-09 15:14:46 ----HD---- C:\windows\inf
2009-12-09 15:14:45 ----RSHDC---- C:\windows\system32\dllcache
2009-12-09 15:14:32 ----D---- C:\Programme\Internet Explorer
2009-12-09 15:14:23 ----D---- C:\windows\ie8updates
2009-12-09 15:14:21 ----HD---- C:\windows\$hf_mig$
2009-12-09 15:14:13 ----SHD---- C:\windows\Installer
2009-12-09 15:14:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-08 13:28:59 ----D---- C:\windows\Minidump
2009-12-08 11:33:37 ----DC---- C:\windows\system32\DRVSTORE
2009-12-01 21:06:19 ----A---- C:\windows\system32\MRT.exe
2009-11-30 16:08:18 ----D---- C:\Programme\Gemeinsame Dateien
2009-11-25 09:30:30 ----D---- C:\windows\WinSxS
2009-11-12 11:33:27 ----D---- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Winamp

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Intel-Prozessortreiber; C:\windows\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\windows\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 SCDEmu;SCDEmu; C:\windows\system32\drivers\SCDEmu.sys [2009-07-27 58908]
R1 ssmdrv;ssmdrv; C:\windows\system32\DRIVERS\ssmdrv.sys [2009-06-15 28520]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\windows\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832]
R2 avgntflt;avgntflt; C:\windows\system32\DRIVERS\avgntflt.sys [2009-12-08 56816]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\windows\system32\Drivers\CVPNDRVA.sys []
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\windows\system32\drivers\ADIHdAud.sys [2008-04-24 281600]
R3 AEAudio;AE Audio Service; C:\windows\system32\drivers\AEAudio.sys [2007-07-13 94976]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\windows\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776]
R3 BCM43XX;Treiber für Broadcom 802.11-Netzwerkadapter; C:\windows\system32\DRIVERS\bcmwl5.sys [2009-06-14 1287552]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\windows\system32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 DNE;Deterministic Network Enhancer Miniport; C:\windows\system32\DRIVERS\dne2000.sys [2008-03-29 125328]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\windows\system32\DRIVERS\e1e5132.sys [2007-04-12 250776]
R3 FsUsbExDisk;FsUsbExDisk; \??\C:\windows\system32\FsUsbExDisk.SYS []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 HBtnKey;HBtnKey; C:\windows\system32\DRIVERS\cpqbttn.sys [2008-04-28 9344]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\windows\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HpqKbFiltr;HpqKbFilter Driver; C:\windows\system32\DRIVERS\HpqKbFiltr.sys [2007-06-18 16768]
R3 ialm;ialm; C:\windows\system32\DRIVERS\igxpmp32.sys [2008-03-17 5955872]
R3 SynTP;Synaptics TouchPad Driver; C:\windows\system32\DRIVERS\SynTP.sys [2008-03-27 224672]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\windows\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\windows\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 Wdf01000;Wdf01000; C:\windows\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 avkji7ee;avkji7ee; C:\windows\system32\drivers\avkji7ee.sys []
S3 CVirtA;Cisco Systems VPN Adapter; C:\windows\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\windows\system32\DRIVERS\pccsmcfd.sys [2007-09-17 21632]
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\windows\system32\DRIVERS\sscdbus.sys [2007-07-03 80552]
S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\windows\system32\DRIVERS\sscdmdfl.sys [2007-07-03 11944]
S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\windows\system32\DRIVERS\sscdmdm.sys [2007-07-03 106792]
S3 sscdserd;SAMSUNG Mobile Modem Diagnostic Serial Port (WDM); C:\windows\system32\DRIVERS\sscdserd.sys [2007-07-03 86824]
S3 usbscan;USB-Scannertreiber; C:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vsdatant;vsdatant; \??\C:\windows\system32\vsdatant.sys []
S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2008-03-18 13312]
R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-15 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2008-04-17 1528608]
R2 FsUsbExService;FsUsbExService; C:\windows\system32\FsUsbExService.Exe [2009-06-08 233472]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-12-08 1184912]
R2 UMWdf;Windows User Mode Driver Framework; C:\windows\system32\wdfmgr.exe [2005-01-28 38912]
R3 Com4QLBEx;Com4QLBEx; C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
R3 hpqwmiex;hpqwmiex; C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe [2008-05-01 165192]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-09-08 545568]
S2 ASKUpgrade;ASKUpgrade; C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-04-02 234888]
S3 aspnet_state;ASP.NET State Service; C:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-04-07 430592]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------


Vielen Dank für das schnelle Feedback!
__________________

Alt 11.12.2009, 16:22   #4
Moritz009
 

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hi,

ist diese Datei noch vorhanden?
Code:
ATTFilter
 C:\Dokumente und Einstellungen\benutzer\lokale einstellungen\temp\12714xxx.ddl
         
Wenn ja, lade diese Datei bitte bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und poste das Ergebnis.
Mache aber vorher unbedingt alle Dateien sichtbar: Explorer => Extras => Ordneroptionen => Ansicht => "Alle Dateien und Ordner anzeigen"
"geschützte Systemdateien ausblenden" Haken weg wenn du diese sehen willst, bei "Erweiterungen bei bekannten Dateien ausblenden" solltest du den Haken sowieso entfernen


Führe danach zudem einen Scam mit GMER durch, wie in der Anleitung beschrieben und poste das Log hier.
__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Alt 11.12.2009, 18:19   #5
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



soooo, hier die Ergebnisse. Erst von Virus total:

a-squared 4.5.0.43 2009.12.11 Trojan-GameThief.Win32.WOW!IK
AhnLab-V3 5.0.0.2 2009.12.11 Win-Trojan/WowHack.22528.L
AntiVir 7.9.1.108 2009.12.11 TR/Drop.Agen.YUI.74
Antiy-AVL 2.0.3.7 2009.12.11 Trojan/Win32.WOW.gen
Authentium 5.2.0.5 2009.12.02 W32/Bongler-based!Maximus
Avast 4.8.1351.0 2009.12.11 Win32:Trojan-gen
AVG 8.5.0.427 2009.12.11 PSW.OnlineGames3.PGA
BitDefender 7.2 2009.12.11 Trojan.PWS.Agent.SIV
CAT-QuickHeal 10.00 2009.12.11 TrojanGameThief.WOW.tri
ClamAV 0.94.1 2009.12.11 -
Comodo 3207 2009.12.11 -
DrWeb 5.0.0.12182 2009.12.11 Trojan.PWS.Wow.1527
eSafe 7.0.17.0 2009.12.10 -
eTrust-Vet 35.1.7170 2009.12.11 Win32/Wowpa.ON
F-Prot 4.5.1.85 2009.12.10 W32/Bongler-based!Maximus
F-Secure 9.0.15370.0 2009.12.11 Trojan.PWS.Agent.SIV
Fortinet 4.0.14.0 2009.12.11 -
GData 19 2009.12.11 Trojan.PWS.Agent.SIV
Ikarus T3.1.1.74.0 2009.12.11 Trojan-GameThief.Win32.WOW
Jiangmin 13.0.900 2009.12.11 Trojan/PSW.WOW.biy
K7AntiVirus 7.10.918 2009.12.11 -
Kaspersky 7.0.0.125 2009.12.11 Trojan-GameThief.Win32.WOW.tri
McAfee 5829 2009.12.11 -
McAfee+Artemis 5829 2009.12.11 -
McAfee-GW-Edition 6.8.5 2009.12.11 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.5302 2009.12.11 -
NOD32 4679 2009.12.11 Win32/PSW.WOW.NML
Norman 6.04.03 2009.12.11 -
nProtect 2009.1.8.0 2009.12.11 Trojan-PWS/W32.WebGame.22528.DT
Panda 10.0.2.2 2009.12.11 Suspicious file
PCTools 7.0.3.5 2009.12.11 Trojan-PSW.Gampass
Prevx 3.0 2009.12.11 High Risk Fraudulent Security Program
Rising 22.25.04.07 2009.12.11 Trojan.PSW.Win32.OnlineGame.zvy
Sophos 4.48.0 2009.12.11 -
Sunbelt 3.2.1858.2 2009.12.11 -
Symantec 1.4.4.12 2009.12.11 Infostealer.Gampass
TheHacker 6.5.0.2.090 2009.12.10 Trojan/WOW.tri
TrendMicro 9.100.0.1001 2009.12.11 -
VBA32 3.12.12.0 2009.12.10 Trojan-GameThief.Win32.WOW.tri
ViRobot 2009.12.11.2083 2009.12.11 Trojan.Win32.PSWWow.22528.D
VirusBuster 5.0.21.0 2009.12.11 Trojan.PWS.WOW.IOJ
weitere Informationen
File size: 22528 bytes
MD5...: 007b9e006528dd46ddec0d34180d76d7
SHA1..: b626db97abcadc947c279e4de683f726b06fe82d
SHA256: a377b3b3e84acf17a49948dd5a40337f1769762aad4df547becda77c15bbfaf6
ssdeep: 384:n7sFl9TgsROWGoLQ124iWr8pOyQA8Fl8oydGc:OBW245QpO68Fl8oy
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3f52
timedatestamp.....: 0x4abcea10 (Fri Sep 25 16:04:32 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bda 0x3c00 6.37 87f041a2b929cc53acda64eb628fc184
.rdata 0x5000 0x55b 0x600 4.56 90c8dc8c8b2e3be9be816a6949528740
.data 0x6000 0xb48 0x800 4.00 7af6fe82fd5078ed5e45edcd5a9aa5a1
.qrdata 0x7000 0x1c 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 0x8000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.reloc 0x9000 0x560 0x600 5.61 0ae226b15bed5e35dfa63ffd290bb881

( 4 imports )
> KERNEL32.dll: Sleep, LoadLibraryA, GetTempPathA, WritePrivateProfileStringA, Beep, GetPrivateProfileStringA, GetVersionExA, GetCurrentProcess, WideCharToMultiByte, IsBadReadPtr, GetSystemTime, FreeLibrary, CloseHandle, CreateThread, GetCurrentProcessId, CreateSemaphoreA, GetModuleFileNameA, HeapFree, GetProcessHeap, HeapAlloc, lstrlenA, VirtualAlloc, GetTimeZoneInformation, VirtualProtect, GetModuleHandleA, GetProcAddress, RtlUnwind, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeW, GetStringTypeA
> USER32.dll: MessageBoxA, wsprintfA, CharLowerBuffA
> PSAPI.DLL: EnumProcessModules, GetModuleFileNameExA
> WININET.dll: HttpSendRequestA, HttpSendRequestW

( 4 exports )
DllMain, HookWin32, catchxxc, catchxxd
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EC221B980085803D587000D210D33900E7D5836B' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EC221B980085803D587000D210D33900E7D5836B</a>


Das ist wirklich interessant, denn wenn ich das richtig verstehe, bedeutet das, dass der Trojaner mit World of Warcraft zusammenhängt. Ich habe World of Warcraft nur kurz gespielt um darüber eine Reportage zu machen (ich bin Radio-Journalist). Das ist schon ein halbes Jahr her, dafür hatte mir Blizzard einen kostenlosen 14 Tage Account bereitgestellt. Vor zwei Wochen wurden mir aber 12 Euro abgebucht, was ich sofort durch meine Bank stornieren lies. Keine Ahnung, ob dieser Vorfall was mit dem Trojaner zu tun hat, aber ich wollte es mal erwähnen.

Gleich folgt Rootkit-Scanner.


Alt 11.12.2009, 18:43   #6
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



mhm.. Ich kriege GMER nicht zum laufen. Nach dem Start wird der Bildschirm kurz blau, dann startet der Rechner neu. Ich habe alle Programme und auch W-Lan ausgemacht. Woran kann das liegen?

Alt 11.12.2009, 19:57   #7
Moritz009
 

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hallo,

1
bitte öffne HijackThis erneut, drücke auf "Scan" und setze vor folgenden einträgen ein Häkchen:
Code:
ATTFilter
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
         
Klicke danach auf den Button "Fix Checked" und starte den rechner neu.
Poste danach bitte ein frisches HijackThis log.

Zu GMER:Weißt du, was auf dem Bluescreen geschrieben steht?

2
Während dieser Scans soll(en):

* alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
* keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
* nichts am Rechner getan werden,
* nach jedem Scan der Rechner neu gestartet werden.
Rootkitscan mit RootRepeal

* Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
* Entpacke die Datei auf Deinen Desktop.
* Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
* Klicke auf den Reiter Report und dann auf den Button Scan.
* Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
* Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
* Wähle C:\ und klicke wieder Ok.
* Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
* Wenn der Suchlauf beendet ist, klicke auf Save Report.
* Speichere das Logfile als RootRepeal.txt auf dem Desktop.
* Kopiere den Inhalt hier in den Thread.

Sag mal: Betreibst du Online Banking?
__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Alt 11.12.2009, 20:11   #8
Moritz009
 

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

* Doppelklick auf das Avenger-Symbol

* Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
 Files to delete:
C:\Dokumente und Einstellungen\benutzer\lokale einstellungen\temp\12714xxx.ddl
         



* Schliesse nun alle Programme und Browser-Fenster

* Um den Avenger zu starten klicke auf -> Execute
* Dann bestätigen mit "Yes" das der Rechner neu startet

* Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

* Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Alt 12.12.2009, 14:35   #9
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



So, hier erst mal der neue Hjack This Report:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 15:34:16, on 12.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\windows\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\windows\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\windows\system32\FsUsbExService.Exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\windows\system32\svchost.exe
C:\windows\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\windows\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [ImpulseFastStart] "C:\Programme\Stardock\Impulse\Impulse.exe" /fastload
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1245004433097
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1245005544312
O20 - AppInit_DLLs: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\12714xxx.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FsUsbExService - Teruten - C:\windows\system32\FsUsbExService.Exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8750 bytes


Der Rest folgt später.

Alt 12.12.2009, 14:52   #10
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hier der RootRepeal Report. Zu der Frage ob ich online-Banking betreibe: Ich nicht, aber meine Freundin. Müssen wir uns denn Sorgen machen?

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/12/12 15:38
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\windows\System32\Drivers\dump_atapi.sys
Address: 0xA82B9000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\windows\System32\Drivers\dump_WMILIB.SYS
Address: 0xBA610000 Size: 8192 File Visible: No Signed: -
Status: -

Name: PCI_PNP6824
Image Path: \Driver\PCI_PNP6824
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\windows\system32\drivers\rootrepeal.sys
Address: 0xA6F87000 Size: 49152 File Visible: No Signed: -
Status: -

Name: spfk.sys
Image Path: spfk.sys
Address: 0xB9EA6000 Size: 1052672 File Visible: No Signed: -
Status: -

Name: sptd
Image Path: \Driver\sptd
Address: 0x00000000 Size: 0 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:\windows\temp\perflib_perfdata_8fc.dat
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\waaykt0r.default\Cache\96F03F41d01
Status: Visible to the Windows API, but not on disk.

Path: C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\waaykt0r.default\Cache\BB57A550d01
Status: Visible to the Windows API, but not on disk.

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xba6a897e

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xba6a8974

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xba6a8983

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xba6a898d

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "spfk.sys" at address 0xb9ec5ca4

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "spfk.sys" at address 0xb9ec6032

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xba6a8992

#: 119 Function Name: NtOpenKey
Status: Hooked by "spfk.sys" at address 0xb9ea70c0

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xba6a8960

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xba6a8965

#: 160 Function Name: NtQueryKey
Status: Hooked by "spfk.sys" at address 0xb9ec610a

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "spfk.sys" at address 0xb9ec5f8a

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xba6a899c

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xba6a8997

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xba6a8988

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xba6a896f

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]
Process: System Address: 0x8a53f1f8 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_CREATE]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_CLOSE]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_POWER]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: ae2elashȅ扏煓ȁం浍瑓�ᒍ, IRP_MJ_PNP]
Process: System Address: 0x8a136500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]
Process: System Address: 0x8a135500 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CREATE]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_CLOSE]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_READ]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_WRITE]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_POWER]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: dmio, IRP_MJ_PNP]
Process: System Address: 0x8a4d41f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]
Process: System Address: 0x8a2261f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]
Process: System Address: 0x8a5411f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]
Process: System Address: 0x896891f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]
Process: System Address: 0x896891f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x896891f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x896891f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]
Process: System Address: 0x896891f8 Size: 121

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]
Process: System Address: 0x896891f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]
Process: System Address: 0x8a2191f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]
Process: System Address: 0x896681f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_CREATE]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_CLOSE]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_READ]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_QUERY_INFORMATION]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_SET_INFORMATION]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_QUERY_VOLUME_INFORMATION]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_DIRECTORY_CONTROL]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_FILE_SYSTEM_CONTROL]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_DEVICE_CONTROL]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_SHUTDOWN]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_LOCK_CONTROL]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_CLEANUP]
Process: System Address: 0x896511f8 Size: 121

Object: Hidden Code [Driver: sys, IRP_MJ_PNP]
Process: System Address: 0x896511f8 Size: 121

==EOF==

Alt 12.12.2009, 15:01   #11
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



So, und hier das Ergebnis von Avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Dec 12 15:54:44 2009

15:54:44: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Alt 12.12.2009, 15:17   #12
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Ich habe nochmal Avenger drüberlaufen lassen, weil ich vorher einen Tippfehler gemacht hatte. Und was soll ich sagen? Das erste mal startet der Rechner ohne, dass der Virenscanner das Piepsen anfängt!
Du hast mich zu einem sehr glücklichen Menschen gemacht.

Hier der Scan:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\christian\lokale einstellungen\temp\12714xxx.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 12.12.2009, 15:22   #13
Moritz009
 

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Hi,
betreibt deine Freundin an diesem Rechner Onlinebanking?

Bitte lasse nocheinmal Malwarebytes einen vollständigen Scan machen und poste das Ergebnis hier.
__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Alt 12.12.2009, 17:48   #14
Droggelbeche
 
Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Ja, meine Freundin macht am selben Rechner Online-Banking. Sie hat noch kurz bevor der Trojaner aktiv wurde online Banking gemacht. Ist das gefährlich?

Hier der letzt Scan:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3341
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.12.2009 18:46:12
mbam-log-2009-12-12 (18-46-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 250788
Laufzeit: 1 hour(s), 6 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 13.12.2009, 08:26   #15
Moritz009
 

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Standard

Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen



Sieht eigentlich OK aus, aber aufrgrund der Tatsache, dass deine Freundin Onlinebanking betreibt und
Zitat:
Vor zwei Wochen wurden mir aber 12 Euro abgebucht, was ich sofort durch meine Bank stornieren lies. Keine Ahnung, ob dieser Vorfall was mit dem Trojaner zu tun hat, aber ich wollte es mal erwähnen.
würde ich dir folgendes empfehlen:

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

* Lade Dir die MBR.exe von GMER herunter
* Speichere auf deinem Desktop
* Per Doppelklick starten.
* wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten
__________________
Grüße,
Moritz

Trojaner-Board Spendenkonto

Antwort

Themen zu Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen
.dll-datei, antivir, avira, avira antivir, computer, computern, gelöscht, google, hilflos, infiziert, klicke, löschen, maleware, meldung, nicht löschen, problem, programm, rechner, scan, scanner, schädling, service, service pack 3, tr/drop.agen.yui.74, trojaner, virenscanner, windows, windows xp



Ähnliche Themen: Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen


  1. TR/Crypt.EPACK.20167 -- lässt sich nicht löschen -- Echtzeitscanner lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (29)
  2. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  3. Trojaner lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2012 (5)
  4. Trojaner auf dem rechner der sich nicht löschen lässt.
    Log-Analyse und Auswertung - 24.12.2009 (16)
  5. TR/Drop.Delf.bdm (A0056641.exe) lässt sich nicht löschen.
    Plagegeister aller Art und deren Bekämpfung - 04.02.2009 (2)
  6. msvideod.dll - trojaner lässt sich nicht löschen
    Log-Analyse und Auswertung - 03.11.2008 (9)
  7. Hab trojaner drauf der sich nicht löschen lässt..
    Mülltonne - 18.07.2008 (0)
  8. Trojaner lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 29.05.2008 (6)
  9. Trojaner lässt sich nicht löschen
    Mülltonne - 28.05.2008 (0)
  10. Trojaner lässt sich nicht löschen
    Log-Analyse und Auswertung - 21.02.2008 (1)
  11. Trojaner lässt sich nicht löschen
    Antiviren-, Firewall- und andere Schutzprogramme - 16.06.2007 (1)
  12. Trojaner TR/Obfuscated.BL lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 30.01.2007 (10)
  13. Trojaner lässt sich nicht löschen!!
    Log-Analyse und Auswertung - 09.08.2006 (2)
  14. TR/Tldr.Agen.QT.1.D. - Trojaner lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 29.05.2006 (2)
  15. Trojaner lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 03.04.2006 (10)
  16. HILFE! Trojaner lässt sich nicht löschen
    Log-Analyse und Auswertung - 26.05.2005 (4)
  17. Trojaner lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 14.01.2005 (1)

Zum Thema Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen - Hallo, ich habe ein Problem und bin einigermaßen hilflos, weil ich mich mit Computern nicht so gut auskenne. Seit ein paar Tagen meldet sich mein Avira Antivir mit der Meldung, - Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen...
Archiv
Du betrachtest: Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.