| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.12.2009, 16:27
| #1 |
| |  Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen Hallo, ich habe ein Problem und bin einigermaßen hilflos, weil ich mich mit Computern nicht so gut auskenne. Seit ein paar Tagen meldet sich mein Avira Antivir mit der Meldung, dass ein Trojaner meinen Rechner infiziert hat. Der Name: TR/Drop.Agen.YUI.74 Weitere Infos kann mir weder Antivir noch Google geben. Das Problem ist, dass sich der Trojaner nicht löschen lässt, das Virenprogramm springt fast sekündlich an, aber egal wie oft ich auf löschen klicke, der Trojaner bleibt. Mir bleibt nichts anderes übrig, als den Virenscanner auszuschalten um den Rechner weiterbenutzen zu können. Der Trojaner hat sich in einer .dll-Datei festgesetzt, die ich auch nicht löschen kann, weil sie wohl permanent benutzt wird. Hier meine Syteminfos: Betriebssystemname Microsoft Windows XP Professional Version 5.1.2600 Service Pack 3 Build 2600 Betriebssystemhersteller Microsoft Corporation Systemname ****** Systemhersteller Hewlett-Packard Systemmodell HP 550 Systemtyp X86-basierter PC Prozessor x86 Family 6 Model 22 Stepping 1 GenuineIntel ~1994 Mhz BIOS-Version/-Datum Hewlett-Packard 68MVU Ver. F.06, 25.02.2009 SMBIOS-Version 2.4 Windows-Verzeichnis C:\windows Systemverzeichnis C:\windows\system32 Startgerät \Device\HarddiskVolume1 Gebietsschema Deutschland Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)" Benutzername *****\**** Zeitzone Westeuropäische Normalzeit Gesamter realer Speicher 3.072,00 MB Verfügbarer realer Speicher 2,07 GB Gesamter virtueller Speicher 2,00 GB Verfügbarer virtueller Speicher 1,96 GB Größe der Auslagerungsdatei 4,83 GB Auslagerungsdatei C:\pagefile.sys Ich habe auch Maleware drüberlaufen lassen. Da wurde zwar ein Schädling angezeigt, der (angeblich) auch gelöscht wurde, aber das Problem blieb auch danach bestehen. Es wäre toll, wenn mir jemand helfen könnte. |
|
11.12.2009, 16:45
| #2 | |
  | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen Hallo und
__________________ Zitat:
Bitte außerdem diese Liste beachten und abarbeiten. Zudem die unter Punkt 2 anfallenden Logs hier posten. 
__________________ |
|
11.12.2009, 17:12
| #3 |
| | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen Hallo Moritz,
__________________hier der genaue Pfad: C:\Dokumente und Einstellungen\benutzer\lokale einstellungen\temp\12714xxx.ddl hier Maleware-Log: Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3341 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 11.12.2009 15:55:55 mbam-log-2009-12-11 (15-55-55).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 251284 Laufzeit: 1 hour(s), 17 minute(s), 30 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{B90DDB75-B780-4A65-ABF6-AFB1F01B32ED}\RP126\A0033495.exe (Malware.Tool) -> Quarantined and deleted successfully. Hier RSIT: Logfile of random's system information tool 1.06 (written by random/random) Run by christian at 2009-12-11 17:05:32 Microsoft Windows XP Professional Service Pack 3 System drive C: has 73 GB (48%) free of 153 GB Total RAM: 3063 MB (71% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:05:40, on 11.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\windows\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\windows\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\PowerISO\PWRISOVM.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\windows\system32\ctfmon.exe C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\windows\system32\FsUsbExService.Exe C:\Programme\Java\jre6\bin\jqs.exe C:\windows\system32\svchost.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\uTorrent\uTorrent.exe C:\windows\System32\svchost.exe C:\Programme\Microsoft Office\Office12\WINWORD.EXE C:\windows\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\******\Desktop\RSIT.exe C:\Programme\trend micro\*****.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ImpulseFastStart] "C:\Programme\Stardock\Impulse\Impulse.exe" /fastload O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1245004433097 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1245005544312 O20 - AppInit_DLLs: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\12714xxx.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: FsUsbExService - Teruten - C:\windows\system32\FsUsbExService.Exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 9423 bytes ======Scheduled tasks folder====== C:\windows\tasks\Ad-Aware Update (Weekly).job C:\windows\tasks\OGALogon.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] AskBar BHO - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}] RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-06-29 312928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-25 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2009-04-02 333192] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"=C:\Programme\Synaptics\SynTP\SynTPEnh.exe [2008-03-27 1040384] "SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2006-07-13 729088] "IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2008-05-22 141848] "HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2008-05-22 166424] "Persistence"=C:\WINDOWS\system32\igfxpers.exe [2008-05-22 137752] "hpWirelessAssistant"=C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe [2008-04-15 488752] "QlbCtrl.exe"=C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe [2008-06-03 177456] "SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2007-01-05 872448] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-06-29 198160] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] "NPSStartup"= [] "PWRISOVM.EXE"=C:\Programme\PowerISO\PWRISOVM.EXE [2009-07-27 180224] "WinampAgent"=C:\Programme\Winamp\winampa.exe [2009-07-01 37888] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-25 149280] "QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-09-05 417792] "iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-09-08 305440] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\windows\system32\ctfmon.exe [2008-04-14 15360] "ImpulseFastStart"=C:\Programme\Stardock\Impulse\Impulse.exe [2008-10-14 1717616] "DAEMON Tools Lite"=C:\Programme\DAEMON Tools Lite\daemon.exe [2009-04-23 691656] "AutoStartNPSAgent"=C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe [2009-06-08 102400] "msnmsgr"=C:\Programme\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart VPN Client.lnk - C:\windows\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico C:\Dokumente und Einstellungen\christian\Startmenü\Programme\Autostart OpenOffice.org 3.1.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\12714xxx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] C:\windows\system32\igfxdev.dll [2008-03-17 208896] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Opera\opera.exe"="C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser" "C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Civilization4.exe"="C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 Complete" "C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Warlords\Civ4Warlords.exe"="C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Warlords\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4: Warlords" "C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Beyond the Sword\Civ4BeyondSword.exe"="C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Beyond the Sword\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4: Beyond the Sword" "C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox" "C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe"="C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server" "C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe"="C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server" "C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Programme\PPStream\PPStream.exe"="C:\Programme\PPStream\PPStream.exe:*:Enabled:PPSÍøÂçµçÊÓ" "C:\Programme\PPStream\PPSAP.exe"="C:\Programme\PPStream\PPSAP.exe:*:Enabled:PPS ÍøÂç¼ÓËÙÆ÷" "C:\Programme\TVAnts\Tvants.exe"="C:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\Windows Live\Messenger\wlcsdk.exe"="C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" "C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" ======List of files/folders created in the last 1 months====== 2009-12-11 17:05:32 ----D---- C:\rsit 2009-12-11 17:05:32 ----D---- C:\Programme\trend micro 2009-12-10 22:36:37 ----D---- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Malwarebytes 2009-12-10 22:36:32 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-12-10 22:36:32 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-09 15:14:42 ----HDC---- C:\windows\$NtUninstallKB970430$ 2009-12-09 15:14:38 ----HDC---- C:\windows\$NtUninstallKB974318$ 2009-12-09 15:14:16 ----HDC---- C:\windows\$NtUninstallKB973904$ 2009-12-09 15:13:54 ----HDC---- C:\windows\$NtUninstallKB974392$ 2009-12-09 15:13:48 ----HDC---- C:\windows\$NtUninstallKB971737$ 2009-12-08 13:25:00 ----D---- C:\Programme\CCleaner 2009-12-08 13:23:01 ----A---- C:\windows\system32\lsdelete.exe 2009-12-08 11:26:00 ----HDC---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6} 2009-12-08 11:25:46 ----D---- C:\Programme\Lavasoft 2009-12-08 11:25:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-11-30 16:09:08 ----D---- C:\windows\Internet Logs 2009-11-30 16:08:39 ----A---- C:\windows\system32\dneinobj.dll 2009-11-30 16:08:18 ----D---- C:\Programme\Gemeinsame Dateien\Deterministic Networks 2009-11-30 16:08:16 ----D---- C:\Programme\Cisco Systems 2009-11-25 09:31:01 ----HDC---- C:\windows\$NtUninstallKB976098-v2$ 2009-11-25 09:30:52 ----HDC---- C:\windows\$NtUninstallKB973687$ 2009-11-22 16:01:17 ----D---- C:\Programme\TVAnts 2009-11-22 15:59:18 ----D---- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\ppstream 2009-11-22 15:59:14 ----D---- C:\Programme\PPStream ======List of files/folders modified in the last 1 months====== 2009-12-11 17:05:40 ----D---- C:\windows\Prefetch 2009-12-11 17:05:32 ----RD---- C:\Programme 2009-12-11 17:01:41 ----D---- C:\Programme\Mozilla Firefox 2009-12-11 17:01:17 ----D---- C:\windows\Temp 2009-12-11 17:01:17 ----D---- C:\windows\Debug 2009-12-11 17:01:17 ----D---- C:\WINDOWS 2009-12-11 16:46:00 ----D---- C:\Torrent 2009-12-11 16:02:08 ----D---- C:\windows\system32 2009-12-11 16:02:07 ----A---- C:\windows\system32\PerfStringBackup.INI 2009-12-11 16:00:28 ----SD---- C:\windows\Tasks 2009-12-11 15:58:14 ----D---- C:\windows\system32\CatRoot2 2009-12-11 15:57:17 ----D---- C:\windows\system32\drivers 2009-12-11 15:56:38 ----N---- C:\windows\SchedLgU.Txt 2009-12-09 15:14:46 ----HD---- C:\windows\inf 2009-12-09 15:14:45 ----RSHDC---- C:\windows\system32\dllcache 2009-12-09 15:14:32 ----D---- C:\Programme\Internet Explorer 2009-12-09 15:14:23 ----D---- C:\windows\ie8updates 2009-12-09 15:14:21 ----HD---- C:\windows\$hf_mig$ 2009-12-09 15:14:13 ----SHD---- C:\windows\Installer 2009-12-09 15:14:13 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-12-08 13:28:59 ----D---- C:\windows\Minidump 2009-12-08 11:33:37 ----DC---- C:\windows\system32\DRVSTORE 2009-12-01 21:06:19 ----A---- C:\windows\system32\MRT.exe 2009-11-30 16:08:18 ----D---- C:\Programme\Gemeinsame Dateien 2009-11-25 09:30:30 ----D---- C:\windows\WinSxS 2009-11-12 11:33:27 ----D---- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Winamp ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Intel-Prozessortreiber; C:\windows\system32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 kbdhid;Tastatur-HID-Treiber; C:\windows\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 SCDEmu;SCDEmu; C:\windows\system32\drivers\SCDEmu.sys [2009-07-27 58908] R1 ssmdrv;ssmdrv; C:\windows\system32\DRIVERS\ssmdrv.sys [2009-06-15 28520] R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\windows\system32\DRIVERS\wmiacpi.sys [2008-04-13 8832] R2 avgntflt;avgntflt; C:\windows\system32\DRIVERS\avgntflt.sys [2009-12-08 56816] R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\windows\system32\Drivers\CVPNDRVA.sys [] R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\windows\system32\drivers\ADIHdAud.sys [2008-04-24 281600] R3 AEAudio;AE Audio Service; C:\windows\system32\drivers\AEAudio.sys [2007-07-13 94976] R3 AgereSoftModem;Agere Systems Soft Modem; C:\windows\system32\DRIVERS\AGRSM.sys [2008-03-21 1203776] R3 BCM43XX;Treiber für Broadcom 802.11-Netzwerkadapter; C:\windows\system32\DRIVERS\bcmwl5.sys [2009-06-14 1287552] R3 CmBatt;Microsoft-Netzteiltreiber; C:\windows\system32\DRIVERS\CmBatt.sys [2008-04-13 13952] R3 DNE;Deterministic Network Enhancer Miniport; C:\windows\system32\DRIVERS\dne2000.sys [2008-03-29 125328] R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:\windows\system32\DRIVERS\e1e5132.sys [2007-04-12 250776] R3 FsUsbExDisk;FsUsbExDisk; \??\C:\windows\system32\FsUsbExDisk.SYS [] R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600] R3 HBtnKey;HBtnKey; C:\windows\system32\DRIVERS\cpqbttn.sys [2008-04-28 9344] R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\windows\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384] R3 HpqKbFiltr;HpqKbFilter Driver; C:\windows\system32\DRIVERS\HpqKbFiltr.sys [2007-06-18 16768] R3 ialm;ialm; C:\windows\system32\DRIVERS\igxpmp32.sys [2008-03-17 5955872] R3 SynTP;Synaptics TouchPad Driver; C:\windows\system32\DRIVERS\SynTP.sys [2008-03-27 224672] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\windows\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\windows\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\windows\system32\DRIVERS\usbuhci.sys [2008-04-13 20608] R3 Wdf01000;Wdf01000; C:\windows\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000] S3 avkji7ee;avkji7ee; C:\windows\system32\drivers\avkji7ee.sys [] S3 CVirtA;Cisco Systems VPN Adapter; C:\windows\system32\DRIVERS\CVirtA.sys [2007-01-18 5275] S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\windows\system32\DRIVERS\pccsmcfd.sys [2007-09-17 21632] S3 sscdbus;SAMSUNG USB Composite Device driver (WDM); C:\windows\system32\DRIVERS\sscdbus.sys [2007-07-03 80552] S3 sscdmdfl;SAMSUNG Mobile Modem Filter; C:\windows\system32\DRIVERS\sscdmdfl.sys [2007-07-03 11944] S3 sscdmdm;SAMSUNG Mobile Modem Drivers; C:\windows\system32\DRIVERS\sscdmdm.sys [2007-07-03 106792] S3 sscdserd;SAMSUNG Mobile Modem Diagnostic Serial Port (WDM); C:\windows\system32\DRIVERS\sscdserd.sys [2007-07-03 86824] S3 usbscan;USB-Scannertreiber; C:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 vsdatant;vsdatant; \??\C:\windows\system32\vsdatant.sys [] S4 IntelIde;IntelIde; C:\windows\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AgereModemAudio;Agere Modem Call Progress Audio; C:\WINDOWS\system32\agrsmsvc.exe [2008-03-18 13312] R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-15 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672] R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888] R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2008-04-17 1528608] R2 FsUsbExService;FsUsbExService; C:\windows\system32\FsUsbExService.Exe [2009-06-08 233472] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-25 153376] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Programme\Lavasoft\Ad-Aware\AAWService.exe [2009-12-08 1184912] R2 UMWdf;Windows User Mode Driver Framework; C:\windows\system32\wdfmgr.exe [2005-01-28 38912] R3 Com4QLBEx;Com4QLBEx; C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840] R3 hpqwmiex;hpqwmiex; C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe [2008-05-01 165192] R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-09-08 545568] S2 ASKUpgrade;ASKUpgrade; C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe [2009-04-02 234888] S3 aspnet_state;ASP.NET State Service; C:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104] S3 idsvc;Windows CardSpace; c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664] S3 odserv;Microsoft Office Diagnostics Service; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-04-07 430592] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096] -----------------EOF----------------- Vielen Dank für das schnelle Feedback! |
|
11.12.2009, 17:22
| #4 |
| | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen Hi, ist diese Datei noch vorhanden? Code:
ATTFilter C:\Dokumente und Einstellungen\benutzer\lokale einstellungen\temp\12714xxx.ddl
Mache aber vorher unbedingt alle Dateien sichtbar: Explorer => Extras => Ordneroptionen => Ansicht => "Alle Dateien und Ordner anzeigen" "geschützte Systemdateien ausblenden" Haken weg wenn du diese sehen willst, bei "Erweiterungen bei bekannten Dateien ausblenden" solltest du den Haken sowieso entfernen Führe danach zudem einen Scam mit GMER durch, wie in der Anleitung beschrieben und poste das Log hier. |
|
11.12.2009, 19:19
| #5 |
| | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen soooo, hier die Ergebnisse. Erst von Virus total: a-squared 4.5.0.43 2009.12.11 Trojan-GameThief.Win32.WOW!IK AhnLab-V3 5.0.0.2 2009.12.11 Win-Trojan/WowHack.22528.L AntiVir 7.9.1.108 2009.12.11 TR/Drop.Agen.YUI.74 Antiy-AVL 2.0.3.7 2009.12.11 Trojan/Win32.WOW.gen Authentium 5.2.0.5 2009.12.02 W32/Bongler-based!Maximus Avast 4.8.1351.0 2009.12.11 Win32:Trojan-gen AVG 8.5.0.427 2009.12.11 PSW.OnlineGames3.PGA BitDefender 7.2 2009.12.11 Trojan.PWS.Agent.SIV CAT-QuickHeal 10.00 2009.12.11 TrojanGameThief.WOW.tri ClamAV 0.94.1 2009.12.11 - Comodo 3207 2009.12.11 - DrWeb 5.0.0.12182 2009.12.11 Trojan.PWS.Wow.1527 eSafe 7.0.17.0 2009.12.10 - eTrust-Vet 35.1.7170 2009.12.11 Win32/Wowpa.ON F-Prot 4.5.1.85 2009.12.10 W32/Bongler-based!Maximus F-Secure 9.0.15370.0 2009.12.11 Trojan.PWS.Agent.SIV Fortinet 4.0.14.0 2009.12.11 - GData 19 2009.12.11 Trojan.PWS.Agent.SIV Ikarus T3.1.1.74.0 2009.12.11 Trojan-GameThief.Win32.WOW Jiangmin 13.0.900 2009.12.11 Trojan/PSW.WOW.biy K7AntiVirus 7.10.918 2009.12.11 - Kaspersky 7.0.0.125 2009.12.11 Trojan-GameThief.Win32.WOW.tri McAfee 5829 2009.12.11 - McAfee+Artemis 5829 2009.12.11 - McAfee-GW-Edition 6.8.5 2009.12.11 Heuristic.BehavesLike.Win32.Suspicious.H Microsoft 1.5302 2009.12.11 - NOD32 4679 2009.12.11 Win32/PSW.WOW.NML Norman 6.04.03 2009.12.11 - nProtect 2009.1.8.0 2009.12.11 Trojan-PWS/W32.WebGame.22528.DT Panda 10.0.2.2 2009.12.11 Suspicious file PCTools 7.0.3.5 2009.12.11 Trojan-PSW.Gampass Prevx 3.0 2009.12.11 High Risk Fraudulent Security Program Rising 22.25.04.07 2009.12.11 Trojan.PSW.Win32.OnlineGame.zvy Sophos 4.48.0 2009.12.11 - Sunbelt 3.2.1858.2 2009.12.11 - Symantec 1.4.4.12 2009.12.11 Infostealer.Gampass TheHacker 6.5.0.2.090 2009.12.10 Trojan/WOW.tri TrendMicro 9.100.0.1001 2009.12.11 - VBA32 3.12.12.0 2009.12.10 Trojan-GameThief.Win32.WOW.tri ViRobot 2009.12.11.2083 2009.12.11 Trojan.Win32.PSWWow.22528.D VirusBuster 5.0.21.0 2009.12.11 Trojan.PWS.WOW.IOJ weitere Informationen File size: 22528 bytes MD5...: 007b9e006528dd46ddec0d34180d76d7 SHA1..: b626db97abcadc947c279e4de683f726b06fe82d SHA256: a377b3b3e84acf17a49948dd5a40337f1769762aad4df547becda77c15bbfaf6 ssdeep: 384:n7sFl9TgsROWGoLQ124iWr8pOyQA8Fl8oydGc:OBW245QpO68Fl8oy PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x3f52 timedatestamp.....: 0x4abcea10 (Fri Sep 25 16:04:32 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3bda 0x3c00 6.37 87f041a2b929cc53acda64eb628fc184 .rdata 0x5000 0x55b 0x600 4.56 90c8dc8c8b2e3be9be816a6949528740 .data 0x6000 0xb48 0x800 4.00 7af6fe82fd5078ed5e45edcd5a9aa5a1 .qrdata 0x7000 0x1c 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b .rsrc 0x8000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b .reloc 0x9000 0x560 0x600 5.61 0ae226b15bed5e35dfa63ffd290bb881 ( 4 imports ) > KERNEL32.dll: Sleep, LoadLibraryA, GetTempPathA, WritePrivateProfileStringA, Beep, GetPrivateProfileStringA, GetVersionExA, GetCurrentProcess, WideCharToMultiByte, IsBadReadPtr, GetSystemTime, FreeLibrary, CloseHandle, CreateThread, GetCurrentProcessId, CreateSemaphoreA, GetModuleFileNameA, HeapFree, GetProcessHeap, HeapAlloc, lstrlenA, VirtualAlloc, GetTimeZoneInformation, VirtualProtect, GetModuleHandleA, GetProcAddress, RtlUnwind, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeW, GetStringTypeA > USER32.dll: MessageBoxA, wsprintfA, CharLowerBuffA > PSAPI.DLL: EnumProcessModules, GetModuleFileNameExA > WININET.dll: HttpSendRequestA, HttpSendRequestW ( 4 exports ) DllMain, HookWin32, catchxxc, catchxxd RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=EC221B980085803D587000D210D33900E7D5836B' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=EC221B980085803D587000D210D33900E7D5836B</a> Das ist wirklich interessant, denn wenn ich das richtig verstehe, bedeutet das, dass der Trojaner mit World of Warcraft zusammenhängt. Ich habe World of Warcraft nur kurz gespielt um darüber eine Reportage zu machen (ich bin Radio-Journalist). Das ist schon ein halbes Jahr her, dafür hatte mir Blizzard einen kostenlosen 14 Tage Account bereitgestellt. Vor zwei Wochen wurden mir aber 12 Euro abgebucht, was ich sofort durch meine Bank stornieren lies. Keine Ahnung, ob dieser Vorfall was mit dem Trojaner zu tun hat, aber ich wollte es mal erwähnen. Gleich folgt Rootkit-Scanner. |
|
11.12.2009, 20:57
| #7 |
| | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen Hallo, 1 bitte öffne HijackThis erneut, drücke auf "Scan" und setze vor folgenden einträgen ein Häkchen: Code:
ATTFilter R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
Poste danach bitte ein frisches HijackThis log. Zu GMER:Weißt du, was auf dem Bluescreen geschrieben steht? 2 Während dieser Scans soll(en): * alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein, * keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), * nichts am Rechner getan werden, * nach jedem Scan der Rechner neu gestartet werden. Rootkitscan mit RootRepeal * Gehe hierhin, scrolle runter und downloade RootRepeal.zip. * Entpacke die Datei auf Deinen Desktop. * Doppelklicke die RootRepeal.exe, um den Scanner zu starten. * Klicke auf den Reiter Report und dann auf den Button Scan. * Mache einen Haken bei den folgenden Elementen und klicke Ok. . Drivers Files Processes SSDT Stealth Objects Hidden Services Shadow SSDT . * Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen. * Wähle C:\ und klicke wieder Ok. * Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld. * Wenn der Suchlauf beendet ist, klicke auf Save Report. * Speichere das Logfile als RootRepeal.txt auf dem Desktop. * Kopiere den Inhalt hier in den Thread. Sag mal: Betreibst du Online Banking? |
|
11.12.2009, 21:11
| #8 |
| | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop: * Doppelklick auf das Avenger-Symbol  * Kopiere nun folgenden Text in das weiße Feld bei -> "input script here" Code:
ATTFilter Files to delete:
C:\Dokumente und Einstellungen\benutzer\lokale einstellungen\temp\12714xxx.ddl
 * Schliesse nun alle Programme und Browser-Fenster * Um den Avenger zu starten klicke auf -> Execute * Dann bestätigen mit "Yes" das der Rechner neu startet * Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt * Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. |
|
12.12.2009, 15:35
| #9 |
| | Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen So, hier erst mal der neue Hjack This Report: Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 15:34:16, on 12.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\windows\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\windows\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\PowerISO\PWRISOVM.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\windows\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\agrsmsvc.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\windows\system32\FsUsbExService.Exe C:\Programme\Java\jre6\bin\jqs.exe C:\windows\system32\svchost.exe C:\windows\system32\wuauclt.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\windows\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Hewlett-Packard\Shared\HpqToaster.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ImpulseFastStart] "C:\Programme\Stardock\Impulse\Impulse.exe" /fastload O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1245004433097 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1245005544312 O20 - AppInit_DLLs: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\12714xxx.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: FsUsbExService - Teruten - C:\windows\system32\FsUsbExService.Exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 8750 bytes Der Rest folgt später. |
Linear-Darstellung
