Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: WORM/Agent.XO und diverse Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.02.2010, 23:42   #1
fgxx
 
WORM/Agent.XO und diverse Trojaner - Standard

WORM/Agent.XO und diverse Trojaner



Hallo,
beim letzten Viren Check (Avira AntiVir) wurden gleiche mehrere Würmer und Trojaner gefunden. Leider hab ich von der Entfernung wenig Ahnung und bin aus den Einträgen zu WORM/Agent.XO hier im Forum und über google auch nicht wirklich schlau gewurden. Gerade da es ja anscheinend mehrere Sachen sind. Hier was AntiVir gefunden hat:

C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\SystemProc\lsass.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\Dokumente und Einstellungen\friedhelm f\Lokale Einstellungen\Temp\Nw0.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

C:\Dokumente und Einstellungen\friedhelm f\Lokale Einstellungen\Temp\Nw1.VIR
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.jbl

C:\Dokumente und Einstellungen\friedhelm f\Lokale Einstellungen\Temp\Nwz.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Renos.FL

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP225\A0047602.exe
[FUND] Ist das Trojanische Pferd TR/Sasfis.zzu.19

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP225\A0047604.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XM.1

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP226\A0048605.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP227\A0049617.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP228\A0049689.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP229\A0049740.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP232\A0051819.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP233\A0051966.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP234\A0051988.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP236\A0052106.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP241\A0052255.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Agent.XO

C:\WINDOWS\msa.VIR
[FUND] Ist das Trojanische Pferd TR/Crypt.EPACK.Gen2

C:\WINDOWS\system32\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Agent.238080.J

Vielen Dank schonmal für die Antworten.

Alt 22.02.2010, 01:36   #2
fgxx
 
WORM/Agent.XO und diverse Trojaner - Standard

WORM/Agent.XO und diverse Trojaner



Hier das Ergebnis der Anti-Malware und von RSIT:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3772
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22.02.2010 01:26:04
mbam-log-2010-02-22 (01-26-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 146725
Laufzeit: 42 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Malware.Packer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmimzmhmfm (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D} (Trojan.Swisyn) -> No action taken.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Trojan.Swisyn) -> No action taken.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Trojan.Swisyn) -> No action taken.
C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\SystemProc (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\autoexec.exe (Malware.Packer) -> No action taken.
C:\ARK153.tmp (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP227\A0049640.exe (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{6095BF67-C016-478C-9E63-3F87D9A9A8A1}\RP228\A0049687.exe (Malware.Packer) -> No action taken.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest (Trojan.Swisyn) -> No action taken.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Trojan.Swisyn) -> No action taken.
C:\Programme\Mozilla Firefox\extensions\{8CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Trojan.Swisyn) -> No action taken.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.


----------------


Logfile of random's system information tool 1.06 (written by random/random)
Run by friedhelm f at 2010-02-22 01:30:06
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 144 GB (94%) free of 153 GB
Total RAM: 1977 MB (76% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:30:09, on 22.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe
C:\Programme\Ralink\Common\RalinkRegistryWriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Programme\Ralink\Common\RaUI.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Programme\Gemeinsame Dateien\Adobe\Updater6\Adobe_Updater.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\friedhelm f\Desktop\RSIT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\trend micro\friedhelm f.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BMIMZMHMFM] C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\Nw1.exe
O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\autoexec.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\Ralink\Common\RaUI.exe
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235410995285
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\WZSE0.TMP\INSTAL~1.EXE (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update Service (gupdate1c9ac03ae1d6a54) (gupdate1c9ac03ae1d6a54) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programme\Ralink\Common\RalinkRegistryWriter.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 6695 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A0F3D1B-0909-4FF4-B272-609CCE6054E7}]
PC Tools Browser Guard BHO - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll [2009-11-10 395216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-04 1144712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2010-02-22 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-02-22 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D4027C7F-154A-4066-A1AD-4243D8127440} - Ask Toolbar - C:\Programme\Ask.com\GenericAskToolbar.dll [2009-06-04 1144712]
{472734EA-242A-422B-ADF8-83D1E48CC825} - PC Tools Browser Guard - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll [2009-11-10 395216]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2008-06-17 150040]
"HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2008-06-17 170520]
"Persistence"=C:\WINDOWS\System32\igfxpers.exe [2008-06-17 141848]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-04 69632]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2010-02-22 149280]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-03-04 198160]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2010-01-07 429392]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"RTHDBPL"=C:\autoexec.exe [2010-01-31 110953]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"BMIMZMHMFM"=C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\Nw1.exe []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Ralink Wireless Utility.lnk - C:\Programme\Ralink\Common\RaUI.exe
VPN Client.lnk - C:\WINDOWS\Installer\{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}\Icon3E5562ED7.ico

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2008-06-11 212992]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"
"C:\Programme\Java\jre1.6.0_07\bin\javaw.exe"="C:\Programme\Java\jre1.6.0_07\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Programme\SopCast\adv\SopAdver.exe"="C:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\Programme\SopCast\SopCast.exe"="C:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\Programme\StreamTorrent 1.0\StreamTorrent.exe"="C:\Programme\StreamTorrent 1.0\StreamTorrent.exe:*:Enabled:StreamTorrent Media Player"
"C:\Programme\Mozilla Firefox\firefox.exe"="C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{373d0f63-7bc3-11de-b32d-00242b322d47}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe uc.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e9814b8-0fde-11de-b283-00242b322d47}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe uc.vbs


======List of files/folders created in the last 3 months======

2010-02-22 00:57:21 ----A---- C:\WINDOWS\system32\javaws.exe
2010-02-22 00:57:21 ----A---- C:\WINDOWS\system32\javaw.exe
2010-02-22 00:57:21 ----A---- C:\WINDOWS\system32\java.exe
2010-02-22 00:57:21 ----A---- C:\WINDOWS\system32\deploytk.dll
2010-02-22 00:39:02 ----D---- C:\Programme\trend micro
2010-02-22 00:39:02 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\Malwarebytes
2010-02-22 00:38:57 ----D---- C:\rsit
2010-02-22 00:38:44 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-22 00:38:42 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-02-22 00:37:14 ----D---- C:\Programme\CCleaner
2010-02-21 23:20:28 ----A---- C:\WINDOWS\BDTSupport.dll
2010-02-21 23:20:27 ----A---- C:\WINDOWS\SGDetectionTool.dll
2010-02-21 23:20:27 ----A---- C:\WINDOWS\PCTBDRes.dll
2010-02-21 23:20:27 ----A---- C:\WINDOWS\PCTBDCore.dll
2010-02-21 22:34:01 ----D---- C:\Programme\Gemeinsame Dateien\PC Tools
2010-02-21 22:34:00 ----D---- C:\Programme\Spyware Doctor
2010-02-21 22:34:00 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\PC Tools
2010-02-21 22:34:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2010-02-21 22:33:50 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2010-02-12 21:31:29 ----A---- C:\WINDOWS\system32\kbdkor.dll
2010-02-12 21:31:29 ----A---- C:\WINDOWS\system32\kbdjpn.dll
2010-02-12 21:31:29 ----A---- C:\WINDOWS\system32\kbd103.dll
2010-02-12 21:31:29 ----A---- C:\WINDOWS\system32\kbd101c.dll
2010-02-12 21:31:29 ----A---- C:\WINDOWS\system32\kbd101b.dll
2010-02-12 21:31:28 ----A---- C:\WINDOWS\system32\kbd106.dll
2010-02-12 21:28:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2010-02-12 21:28:23 ----D---- C:\WINDOWS\system32\TVUAx
2010-02-12 20:48:54 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\StreamTorrent
2010-02-12 20:48:53 ----D---- C:\Programme\StreamTorrent 1.0
2010-02-10 19:42:49 ----D---- C:\Programme\SopCast
2010-02-10 19:42:42 ----D---- C:\Programme\Ask.com
2010-02-08 02:44:01 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\QuickScan
2010-01-30 00:51:34 ----A---- C:\autoexec.exe
2010-01-20 00:01:50 ----A---- C:\ARK153.tmp
2010-01-20 00:01:40 ----SHD---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\SystemProc
2009-12-04 02:39:58 ----A---- C:\WINDOWS\pcfriend.INI

======List of files/folders modified in the last 3 months======

2010-02-22 01:24:19 ----D---- C:\Programme\Mozilla Firefox
2010-02-22 00:58:54 ----D---- C:\WINDOWS\Prefetch
2010-02-22 00:57:43 ----SHD---- C:\WINDOWS\Installer
2010-02-22 00:57:42 ----D---- C:\WINDOWS\Temp
2010-02-22 00:57:42 ----D---- C:\WINDOWS\Debug
2010-02-22 00:57:42 ----D---- C:\WINDOWS
2010-02-22 00:57:21 ----D---- C:\WINDOWS\system32
2010-02-22 00:56:36 ----D---- C:\Programme\Java
2010-02-22 00:39:09 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\foobar2000
2010-02-22 00:39:02 ----RD---- C:\Programme
2010-02-22 00:38:48 ----D---- C:\WINDOWS\system32\drivers
2010-02-21 22:34:14 ----D---- C:\WINDOWS\WinSxS
2010-02-21 22:34:14 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2010-02-21 22:34:01 ----D---- C:\Programme\Gemeinsame Dateien
2010-02-21 19:20:00 ----N---- C:\WINDOWS\SchedLgU.Txt
2010-02-20 12:41:36 ----D---- C:\WINDOWS\system32\CatRoot2
2010-02-20 12:32:34 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-02-20 02:56:16 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\ICQ
2010-02-14 13:05:28 ----SD---- C:\WINDOWS\Tasks
2010-02-12 21:31:51 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-02-12 21:31:39 ----D---- C:\WINDOWS\Help
2010-02-12 21:31:33 ----RSD---- C:\WINDOWS\Fonts
2010-02-05 20:17:18 ----D---- C:\Programme\Google
2010-01-13 20:35:07 ----HD---- C:\WINDOWS\inf
2010-01-01 22:04:08 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2009-12-29 11:48:53 ----D---- C:\Programme\ICQ6.5
2009-12-28 19:48:32 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\gtk-2.0
2009-12-24 11:32:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2009-12-24 11:32:34 ----D---- C:\Programme\NCH Swift Sound
2009-12-24 03:49:25 ----D---- C:\Dokumente und Einstellungen\friedhelm f\Anwendungsdaten\dvdcss
2009-12-16 01:55:22 ----A---- C:\WINDOWS\win.ini
2009-12-04 02:39:18 ----D---- C:\Program Files
2009-12-02 13:17:10 ----D---- C:\WINDOWS\PCHealth

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 WmiAcpi;Microsoft Windows-Verwaltungsschnittstelle für ACPI; C:\WINDOWS\System32\DRIVERS\wmiacpi.sys [2008-04-13 8832]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2003-04-02 12032]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.7.5.0; C:\WINDOWS\System32\DRIVERS\AegisP.sys [2009-02-23 21361]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\System32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-13 13952]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2008-03-29 125328]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\System32\DRIVERS\HSF_DPV.sys [2006-12-22 988800]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\System32\DRIVERS\HSFHWAZL.sys [2006-12-22 209664]
R3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\igxpmp32.sys [2008-06-11 6021184]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-21 4800000]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service; C:\WINDOWS\system32\drivers\IntcHdmi.sys [2008-04-30 108032]
R3 O2MDRDR;O2MDRDR; C:\WINDOWS\System32\DRIVERS\o2media.sys [2008-05-13 51288]
R3 O2SDRDR;O2SDRDR; C:\WINDOWS\System32\DRIVERS\o2sd.sys [2008-06-12 43608]
R3 RT80x86;Ralink 802.11n Wireless Driver; C:\WINDOWS\System32\DRIVERS\RT2860.sys [2008-11-03 712704]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 winachsf;winachsf; C:\WINDOWS\System32\DRIVERS\HSF_CNXT.sys [2006-12-22 730112]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 RAPIProtocol;Ralink RAPI Protocol Driver; C:\WINDOWS\System32\DRIVERS\RAPIProtocol.sys [2008-08-07 16512]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Browser Defender Update Service;Browser Defender Update Service; C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe [2009-11-10 112592]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Programme\Cisco Systems\VPN Client\cvpnd.exe [2008-08-29 1528608]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2010-02-22 153376]
R2 o2flash;O2Micro Flash Memory Card Service; C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe [2007-02-12 65536]
R2 RalinkRegistryWriter;Ralink Registry Writer; C:\Programme\Ralink\Common\RalinkRegistryWriter.exe [2008-09-05 75040]
R2 SSHNAS;SSHNAS; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S2 CiscoVpnInstallService;Cisco Systems, Inc. Installer service; C:\DOKUME~1\FRIEDH~1\LOKALE~1\Temp\WZSE0.TMP\INSTAL~1.EXE []
S2 gupdate1c9ac03ae1d6a54;Google Update Service (gupdate1c9ac03ae1d6a54); C:\Programme\Google\Update\GoogleUpdate.exe [2009-03-23 133104]
S3 getPlus(R) Helper;getPlus(R) Helper; C:\Programme\NOS\bin\getPlus_HelperSvc.exe [2008-12-01 33752]
S3 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2009-12-09 365280]
S3 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2010-01-18 1141712]

-----------------EOF-----------------
__________________


Antwort

Themen zu WORM/Agent.XO und diverse Trojaner
ahnung, antivir, antworten, avira, avira antivir, check, diverse, einstellungen, einträge, entfernung, forum, google, information, lokale, pferd, system volume information, system32, tr/crypt.epack.gen, trojane, trojaner, trojanische, trojanische pferd, viren, wenig ahnung, windows, wirklich, würmer, _restore



Ähnliche Themen: WORM/Agent.XO und diverse Trojaner


  1. VBS/Agent.PF und worm.vbs.dinihou.bl
    Plagegeister aller Art und deren Bekämpfung - 05.04.2015 (15)
  2. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  3. Trojaner JVA/Agent.EX & diverse andere Viren trotz Schutzprogramm?
    Log-Analyse und Auswertung - 09.01.2012 (3)
  4. TR/Agent.123 und WORM/VB.EL.1 gefunden, Neuinstallation nötig?
    Log-Analyse und Auswertung - 08.07.2011 (3)
  5. ADSPY/Agent.223744 + TR/Kazy.18548.1 + diverse andere Plagen
    Log-Analyse und Auswertung - 01.05.2011 (16)
  6. Diverse Viren auf Laptop: TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2'
    Mülltonne - 28.10.2010 (1)
  7. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  8. MSN Virus IM-Worm.win32.agent.ve
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (5)
  9. Wurm WORM/Agent.XO in lsass.exe gefunden
    Log-Analyse und Auswertung - 16.02.2010 (17)
  10. 'WORM/Agent.XO' und TR/Sasfis.zzu.19' [trojan]
    Log-Analyse und Auswertung - 02.02.2010 (8)
  11. Antivir findet WORM/Agent.XO
    Plagegeister aller Art und deren Bekämpfung - 30.01.2010 (2)
  12. vshost.exe konnte nicht gefunden werden / mehrere Trojaner / Worm.Agent.W45
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (9)
  13. TR dropper gen. / worm.agent.w problem
    Log-Analyse und Auswertung - 29.01.2009 (0)
  14. Diverse Win32/Agent.xxx + LOG
    Mülltonne - 30.11.2008 (0)
  15. HTML/Rce.Gen und WORM/Agent.A.371
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (14)
  16. Diverse Tojaner (evtl. auch Wurm) z.B. Win32.Agent.pz
    Plagegeister aller Art und deren Bekämpfung - 21.07.2008 (18)
  17. Worm/agent.CK.3 was kann ich machn?
    Plagegeister aller Art und deren Bekämpfung - 23.03.2008 (3)

Zum Thema WORM/Agent.XO und diverse Trojaner - Hallo, beim letzten Viren Check (Avira AntiVir) wurden gleiche mehrere Würmer und Trojaner gefunden. Leider hab ich von der Entfernung wenig Ahnung und bin aus den Einträgen zu WORM/Agent.XO hier - WORM/Agent.XO und diverse Trojaner...
Archiv
Du betrachtest: WORM/Agent.XO und diverse Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.