Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.Agent!A2 gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.10.2010, 14:20   #1
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo!

Ich hatte Gestern Probleme mit dem Online-Banking.

Also habe ich einen Scan mit Emisoft Anti-Malware gemacht. Und siehe da, Trojan.Win32.Agent!A2 wurde gefunden und in Quarantäne gestellt.

Wie hier beschrieben habe ich auch OTL durchlaufen lassen.

Hier die Logfiles:

Extras.Txt

OTL.Txt


Könnt ihr mir helfen den Trojaner loszuwerden?

Gruß

Thorsten

Alt 05.10.2010, 20:36   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Zitat:
Und siehe da, Trojan.Win32.Agent!A2 wurde gefunden und in Quarantäne gestellt.
Immer die genauen Schädlingsnamen und Pfadangaben notieren und posten!

Aus den Regeln:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.
__________________

__________________

Alt 06.10.2010, 06:33   #3
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Doppelposting. Entschuldigung.
__________________

Geändert von Hooschi (06.10.2010 um 06:40 Uhr)

Alt 06.10.2010, 06:36   #4
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo,

das hier ist der Quarantäne-Bericht. Ich hoffe das reicht euch. Wenn ihr noch etwas benötigt, bitte kurze Info.

Emsisoft Anti-Malware v. 5.0.0.81
(C) 2003-2010 Emsi Software GmbH - www.emsisoft.com

ID Object
0 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP915\A0111584.exe Trojan.Win32.Agent!A2
1 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O54LWJAZ\nh[1].exe Trojan.Win32.Agent!A2
2 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP917\A0111680.exe Trojan.Win32.Agent!A2
3 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP913\A0111494.exe Trojan.Win32.Agent!A2
4 C:\System Volume Information\_restore{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP915\A0111553.exe Trojan.Win32.Agent!A2
5 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O54LWJAZ\ni[1].exe Trojan.Win32.Agent!A2

Gruß

Thorsten

Alt 06.10.2010, 13:39   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.10.2010, 17:51   #6
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo,

hier der Log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4754

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.10.2010 18:47:19
mbam-log-2010-10-06 (18-47-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 277039
Laufzeit: 1 Stunde(n), 59 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ich habe die Dateien löschen lassen. Kann ich die mit Emsisoft Anti-Malware in Quarantäne geschobenen Dateien auch löschen?

Gruß

Thorsten

Alt 06.10.2010, 20:26   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Zitat:
Kann ich die mit Emsisoft Anti-Malware in Quarantäne geschobenen Dateien auch löschen?
Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2010, 06:30   #8
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo,

genauso habe ich mir das auch gedacht. Ich habe mich nur gewundert, dass bei Malwarebytes die Dateien gelöscht werden sollen.

Ist denn jetzt wieder alles in Ordnung auf meiner Festplatte? Oder soll ich noch etwas machen?

Gruß

Thorsten

Alt 07.10.2010, 13:41   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Nein wir sind noch nicht durch. Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2010, 16:47   #10
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo,

hier der combofix-Bericht:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-06.03 - admin 07.10.2010  17:25:46.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.958.439 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Temp

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-07 bis 2010-10-07  ))))))))))))))))))))))))))))))
.

2010-10-07 15:03 . 2010-10-07 15:03	--------	d-----w-	c:\programme\CCleaner
2010-10-07 11:05 . 2010-10-07 11:05	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-10-07 10:58 . 2010-10-07 10:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-10-06 13:33 . 2010-10-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Malwarebytes
2010-10-06 13:33 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-06 13:33 . 2010-10-06 13:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-06 13:33 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-06 13:33 . 2010-10-06 13:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-10-05 08:34 . 2010-10-05 12:16	--------	d-----w-	c:\programme\Emsisoft Anti-Malware
2010-10-05 05:18 . 2010-10-05 05:29	--------	d-----w-	c:\programme\a-squared Free
2010-10-04 18:52 . 2010-10-04 18:54	--------	d-----w-	c:\programme\Trojancheck 6

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 15:19 . 2010-01-30 10:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-07 15:09 . 2010-01-28 10:00	--------	d-----w-	c:\dokumente und einstellungen\admin\Anwendungsdaten\Winamp
2010-10-04 17:11 . 2009-03-23 17:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-10-04 17:09 . 2009-03-23 17:52	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-10-04 17:09 . 2009-03-23 17:52	124784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-10-04 17:09 . 2009-03-23 17:52	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-08-17 18:04 . 2010-08-17 18:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland
2010-07-22 15:48 . 2006-02-28 12:00	590848	----a-w-	c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-08-10 05:01	423656	----a-w-	c:\windows\system32\deployJava1.dll
2008-04-14 02:22 . 2006-02-28 12:00	1028	--sha-r-	c:\windows\drv_spww.bin
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Reminder"="c:\programme\Microsoft Money\System\reminder.exe" [1999-03-14 37376]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-11-16 577536]
"VTTimer"="VTTimer.exe" [2005-03-07 53248]
"VTTrayp"="VTtrayp.exe" [2006-03-23 176128]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-10-04 282792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-01-13 37888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WinWorker\\Sonstige\\SPRS\\SPRSServer.exe"=
"c:\\Programme\\WinWorker\\DLLs\\wwms.exe"=
"c:\\Programme\\WinWorker\\Dlls\\WWDokumentenmanagement.exe"=
"c:\\Programme\\WinWorker\\Dlls\\wwdm.dll"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Spiele\\Stronghold2\\Stronghold2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"62720:TCP"= 62720:TCP:WinWorker Lizenzserver (SPLS) TCP
"62720:UDP"= 62720:UDP:WinWorker Lizenzserver (SPLS) UDP
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [05.10.2010 10:34 2909536]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [04.10.2010 19:11 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.03.2009 19:52 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [04.10.2010 19:11 405672]
R2 OKI OPHD DCS Loader;OKI OPHD DCS Loader;c:\windows\system32\spool\drivers\w32x86\3\OPHDLDCS.EXE [25.07.2007 14:18 24576]
R2 SPLS;S+P Lizenzverwaltung;c:\windows\SP Services\SPLS\SPLSServer.exe [25.07.2007 14:51 262760]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [05.10.2010 10:34 72808]
R3 CBUSB;MARX CryptoTech LP;c:\windows\system32\drivers\CBUSB.SYS [25.07.2007 14:52 45056]
.
Inhalt des "geplante Tasks" Ordners

2010-09-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\69izxi6h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(680)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(948)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-10-07  17:39:13
ComboFix-quarantined-files.txt  2010-10-07 15:39

Vor Suchlauf: 9 Verzeichnis(se), 117.554.020.352 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 120.253.894.656 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - A26D1E4C6A0AFD767C672ED7A61663D9
         
--- --- ---


Blöderweise ist beim Ausführen von combofix ein Fenster aufgegangen und Spybot wollte das System überprüfen. Ich habe auf Abbrechen gedrückt. Ich weiss auch nicht warum das passiert ist. Ich hatte alle Programme aus und habe die Wächter ausgeschaltet.

Gruß

Thorsten

Alt 07.10.2010, 19:08   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2010, 11:06   #12
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo,

hier die Logs:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-08 10:12:54
Windows 5.1.2600 Service Pack 3
Running: 71r0njrd.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\kglcipob.sys


---- System - GMER 1.0.15 ----

SSDT  F7AA062E  ZwCreateKey
SSDT  F7AA0624  ZwCreateThread
SSDT  F7AA0633  ZwDeleteKey
SSDT  F7AA063D  ZwDeleteValueKey
SSDT  F7AA065B  ZwLoadDriver
SSDT  F7AA0642  ZwLoadKey
SSDT  F7AA0610  ZwOpenProcess
SSDT  F7AA0615  ZwOpenThread
SSDT  F7AA064C  ZwReplaceKey
SSDT  F7AA0647  ZwRestoreKey
SSDT  F7AA0660  ZwSetSystemInformation
SSDT  F7AA0638  ZwSetValueKey
SSDT  F7AA061F  ZwTerminateProcess
SSDT  F7AA061A  ZwWriteVirtualMemory

---- EOF - GMER 1.0.15 ----
         
--- --- ---

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:00:14 on 08.10.2010
OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "AppleSoftwareUpdate.job" "Apple Computer, Inc." C:\Programme\Apple Software Update\SoftwareUpdate.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "ALSNDMGR.CPL" C:\WINDOWS\system32\ALSNDMGR.CPL File signed by Microsoft | File found, but it contains no detailed information
|||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\infocardcpl.cpl File exists
|||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS\system32\javacpl.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
|||||| "QuickTime" "Apple Computer, Inc." C:\Programme\QuickTime\QTSystem\QuickTime.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
"a2acc" (a2acc) "Emsi Software GmbH" C:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2accx86.sys File exists
|||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\DOKUME~1\admin\LOKALE~1\Temp\catchme.sys File not found
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
"GMSIPCI" (GMSIPCI) D:\INSTALL\GMSIPCI.SYS File not found
"i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists
|||||| "USB RNDIS Adapter" (usb_rndisx) "Microsoft Corporation" C:\WINDOWS\System32\DRIVERS\usb8023x.sys File exists
|||||| "USB Serial Converter Driver" (FTDIBUS) "FTDI Ltd." C:\WINDOWS\System32\drivers\ftdibus.sys File exists
|||||| "USB Serial Port Driver" (FTSER2K) "FTDI Ltd." C:\WINDOWS\System32\drivers\ftser2k.sys File exists
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL File exists
|||||| {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
|||||| {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" "Microsoft Corporation" c:\WINDOWS\system32\mscoree.dll File exists
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\msohev.dll File exists
|||||| {49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" "Microsoft Corporation" C:\PROGRA~1\MI3AA1~1\Wcesview.dll File exists
|||||| {9AF41401-0C93-11D4-A854-00105A80791C} "OKI Network Extension" "Oki Data Corporation" C:\WINDOWS\system32\opnetext.dll File exists
|||||| {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" c:\WINDOWS\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
|||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" c:\WINDOWS\system32\dfshim.dll File exists
|||||| {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" "Microsoft Corporation" C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
ITBar7Height "ITBar7Height" File not found | COM-object registry key not found
"ITBar7Layout" File not found | COM-object registry key not found
"ITBarLayout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_21.dll File exists
|||||| {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_21.dll File exists
|||||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\npjpi160_21.dll File exists
{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab File not found | COM-object registry key not found
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab File not found | COM-object registry key not found
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab File not found | COM-object registry key not found
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" "Microsoft Corporation" C:\PROGRA~1\MI3AA1~1\INetRepl.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" "Safer Networking Limited" C:\PROGRA~1\SPYBOT~1\SDHelper.dll File exists
|||| {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" "Microsoft Corporation" C:\PROGRA~1\MI3AA1~1\INetRepl.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" "Adobe Systems Incorporated" C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll File exists
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jp2ssv.dll File exists
|||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" "Safer Networking Limited" C:\PROGRA~1\SPYBOT~1\SDHelper.dll File exists
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists
|||| "Microsoft Office.lnk" "Microsoft Corporation" C:\Programme\Microsoft Office\Office10\OSA.EXE Shortcut exists | File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\desktop.ini File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
|||| "H/PC Connection Agent" "Microsoft Corporation" "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" File exists
|| "Reminder" "Microsoft Corporation" C:\Programme\Microsoft Money\System\reminder.exe File exists
|||||| "SpybotSD TeaTimer" "Safer-Networking Ltd." C:\Programme\Spybot - Search & Destroy\TeaTimer.exe File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Adobe ARM" "Adobe Systems Incorporated" "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" File exists
"Adobe Reader Speed Launcher" "Adobe Systems Incorporated" "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" File exists
|||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|||| "NeroFilterCheck" "Ahead Software Gmbh" C:\WINDOWS\system32\NeroCheck.exe File exists
|||| "QuickTime Task" "Apple Computer, Inc." "C:\Programme\QuickTime\qttask.exe" -atboottime File exists
|||| "SunJavaUpdateSched" "Sun Microsystems, Inc." "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" File exists
|||| "WinampAgent" "Nullsoft, Inc." C:\Programme\Winamp\winampa.exe File exists
Print Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
|||||| "doPDF 7 Monitor" "Softland" C:\WINDOWS\system32\dopdfmn7.dll File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
"Anwendungsverwaltung" (AppMgmt) C:\WINDOWS\System32\appmgmts.dll File not found
|||||| "ASP.NET State Service" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir MailGuard" (AntiVirMailService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avmailc.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists
|||||| "Avira AntiVir WebGuard" (AntiVirWebService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE File exists
"Emsisoft Anti-Malware 5.0 - Service" (a2AntiMalware) "Emsi Software GmbH" C:\Programme\Emsisoft Anti-Malware\a2service.exe File exists
"HID Input Service" (HidServ) C:\WINDOWS\System32\hidserv.dll File not found
|||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." C:\Programme\Java\jre6\bin\jqs.exe File exists
|||| "Machine Debug Manager" (MDM) "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe File exists
"S+P Lizenzverwaltung" (SPLS) "Sander + Partner GmbH" C:\WINDOWS\SP Services\SPLS\SPLSServer.exe File exists
|||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists
|||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" appmgmts.dll File not found
Winsock Providers
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
|||||| "AVSDA" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avsda.dll File exists

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd

Kernel Drivers (total 118):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806D1000 \WINDOWS\system32\hal.dll
0xF79B0000 \WINDOWS\system32\KDCOM.DLL
0xF78C0000 \WINDOWS\system32\BOOTVID.dll
0xF7380000 ACPI.sys
0xF79B2000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF736F000 pci.sys
0xF74B0000 isapnp.sys
0xF7A78000 pciide.sys
0xF7730000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF79B4000 viaide.sys
0xF74C0000 MountMgr.sys
0xF7350000 ftdisk.sys
0xF7738000 PartMgr.sys
0xF74D0000 VolSnap.sys
0xF7338000 atapi.sys
0xF74E0000 disk.sys
0xF74F0000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7318000 fltmgr.sys
0xF7306000 sr.sys
0xF72EF000 KSecDD.sys
0xF7262000 Ntfs.sys
0xF7235000 NDIS.sys
0xF721B000 Mup.sys
0xF7500000 gagp30kx.sys
0xF7710000 \SystemRoot\system32\DRIVERS\processr.sys
0xF6D21000 \SystemRoot\system32\DRIVERS\vtmini.sys
0xF6D0D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7720000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7530000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7540000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6CEA000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7838000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6CC6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7840000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF68EF000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xF68CB000 \SystemRoot\system32\drivers\portcls.sys
0xF7550000 \SystemRoot\system32\drivers\drmk.sys
0xF7848000 \SystemRoot\system32\DRIVERS\fetnd5.sys
0xF7850000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF7560000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7974000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF68B7000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7570000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7858000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7AB6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7580000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7978000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF68A0000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7590000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75A0000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7860000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF688F000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75B0000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7868000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7870000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF75C0000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7878000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79D8000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6831000 \SystemRoot\system32\DRIVERS\update.sys
0xF7988000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF75F0000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7600000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79DA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7880000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF5736000 \SystemRoot\system32\DRIVERS\Dot4.sys
0xF6D77000 \SystemRoot\system32\DRIVERS\Dot4Prt.sys
0xF79DC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B50000 \SystemRoot\System32\Drivers\Null.SYS
0xF79DE000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7890000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7898000 \SystemRoot\System32\drivers\vga.sys
0xF79E0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79E2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF78A0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF78A8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6D67000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF56DB000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF5682000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF565A000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF6D5F000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF5638000 \SystemRoot\System32\drivers\afd.sys
0xF7620000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF78B0000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF560D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF559D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7630000 \SystemRoot\System32\Drivers\Fips.SYS
0xF5577000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7640000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7650000 \SystemRoot\System32\drivers\CBUSB.sys
0xF5555000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7768000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF79EA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF76A0000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7770000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xF7964000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF76B0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF796C000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF553D000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79FC000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6775000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7778000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BB8000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\vtdisp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xECBA0000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xECBC9000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEC853000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEC6D6000 \SystemRoot\system32\drivers\wdmaud.sys
0xECB28000 \SystemRoot\system32\drivers\sysaudio.sys
0xF7A32000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xEC35F000 \SystemRoot\system32\DRIVERS\srv.sys
0xEBE96000 \SystemRoot\System32\Drivers\HTTP.sys
0xEC446000 \??\C:\PROGRAMME\EMSISOFT ANTI-MALWARE\a2accx86.sys
0xEBB84000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 41):
0 System Idle Process
4 System
536 C:\WINDOWS\system32\smss.exe
600 csrss.exe
624 C:\WINDOWS\system32\winlogon.exe
668 C:\WINDOWS\system32\services.exe
680 C:\WINDOWS\system32\lsass.exe
836 C:\Programme\Emsisoft Anti-Malware\a2service.exe
912 C:\WINDOWS\system32\svchost.exe
980 svchost.exe
1076 C:\WINDOWS\system32\svchost.exe
1136 svchost.exe
1284 svchost.exe
1528 C:\WINDOWS\explorer.exe
1620 C:\WINDOWS\system32\spoolsv.exe
1668 C:\Programme\Avira\AntiVir Desktop\sched.exe
1756 C:\WINDOWS\SOUNDMAN.EXE
1764 svchost.exe
1772 C:\WINDOWS\system32\VTTimer.exe
1780 C:\WINDOWS\system32\VTTrayp.exe
1796 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1808 C:\Programme\QuickTime\qttask.exe
1820 C:\Programme\Winamp\winampa.exe
1832 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
1856 C:\Programme\Microsoft Money\System\REMINDER.EXE
1864 C:\Programme\Microsoft ActiveSync\wcescomm.exe
1880 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
1892 C:\WINDOWS\system32\ctfmon.exe
140 C:\Programme\Microsoft ActiveSync\rapimgr.exe
396 C:\Programme\Avira\AntiVir Desktop\avguard.exe
440 C:\Programme\Java\jre6\bin\jqs.exe
468 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
340 C:\WINDOWS\system32\spool\drivers\w32x86\3\OPHDLDCS.EXE
604 C:\WINDOWS\SP Services\SPLS\SPLSServer.exe
1044 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1064 C:\WINDOWS\system32\svchost.exe
2208 C:\Programme\Avira\AntiVir Desktop\avmailc.exe
2260 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
3016 alg.exe
3588 C:\Programme\Mozilla Firefox\firefox.exe
2456 C:\Dokumente und Einstellungen\admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\I: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD160HJ, Rev: BF100-12
PhysicalDrive1 Model Number: SAMSUNGHD161HJ, Rev: JF100-15

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
149 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Done!

Gruß

Thorsten

Alt 08.10.2010, 11:38   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2010, 14:43   #14
Hooschi
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Hallo,

kaum zu glauben, aber es wurde schon wieder was gefunden.

Hier die Logs:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4779

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.10.2010 20:21:08
mbam-log-2010-10-08 (20-21-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 273277
Laufzeit: 1 Stunde(n), 51 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\users.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O54LWJAZ\nk[1].exe (Trojan.Agent) -> No action taken.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/09/2010 at 01:21 PM

Application Version : 4.44.1000

Core Rules Database Version : 5661
Trace Rules Database Version: 3473

Scan type : Complete Scan
Total Scan Time : 01:48:24

Memory items scanned : 514
Memory threats detected : 0
Registry items scanned : 8236
Registry threats detected : 0
File items scanned : 140097
File threats detected : 2

Trojan.Service
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\SERVICE.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{CC4BD3F5-EF8E-423A-9E93-52140AD1E475}\RP924\A0112981.EXE

Gruß

Thorsten

Alt 09.10.2010, 18:30   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Win32.Agent!A2 gefunden - Standard

Trojan.Win32.Agent!A2 gefunden



Da war doch noch was
Haste das gelöscht?

Wir müssen nochmal weiter ran:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojan.Win32.Agent!A2 gefunden
anti-malware, gefunde, gestern, logfiles, loszuwerden, probleme, quarantäne, scan, troja, trojan.win32.agent, trojaner



Ähnliche Themen: Trojan.Win32.Agent!A2 gefunden


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Virus: Win32.Trojan.Agent.RLUV02 (Engine B) gefunden
    Log-Analyse und Auswertung - 07.10.2014 (11)
  3. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  4. trojan.agent/Gen-frauder und trojan.agent/Gen-Reputation gefunden
    Log-Analyse und Auswertung - 02.11.2013 (10)
  5. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  6. Virus: Win32.Trojan.Agent.KV5KTJ gefunden in Datei: C:\User\xx\AppData\Local\Temp\is1070216317\798896_Setup.EXE
    Plagegeister aller Art und deren Bekämpfung - 20.09.2013 (11)
  7. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  8. TrojWare.Win32.Trojan.Agent.Gen@1 in temp/upd.exe gefunden! Lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 08.12.2011 (16)
  9. Trojan.Agent, Trojan.FakeAltert, Trojan.Hiloti.Gen gefunden und gelöscht,aber wirklich weg?
    Log-Analyse und Auswertung - 27.04.2011 (11)
  10. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  11. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  12. win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (59)
  13. Trojan-Downloader.Win32.Agent Variant sowie Zlob.DNSChanger files gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (9)
  14. Hilfe! Angeblich Trojan-PSW.Agent.win32.tz gefunden...
    Log-Analyse und Auswertung - 24.02.2008 (6)
  15. Trojan.Win32.Agent.sk gefunden.
    Log-Analyse und Auswertung - 19.04.2006 (7)
  16. Win32.Trojan.Agent.cs von Ad-Aware gefunden. Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2005 (3)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Trojan.Win32.Agent!A2 gefunden - Hallo! Ich hatte Gestern Probleme mit dem Online-Banking. Also habe ich einen Scan mit Emisoft Anti-Malware gemacht. Und siehe da, Trojan.Win32.Agent!A2 wurde gefunden und in Quarantäne gestellt. Wie hier beschrieben - Trojan.Win32.Agent!A2 gefunden...
Archiv
Du betrachtest: Trojan.Win32.Agent!A2 gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.