Trojaner Fund : TR/Dldr.Agent.drw
Hallo, ich habe folgenden Fund auf den Rechner meiner Freundin. TR/Dldr.Agent.drw
hier ist der Report von Antivir : Code:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 23. Oktober 2007 09:06
Es wird nach 900278 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows 2000
Windowsversion: (Service Pack 4) [5.0.2195]
Benutzername: SYSTEM
Computername: ANI-Q0M61189E6W
Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 05.09.2007 20:25:38
AVSCAN.DLL : 7.0.6.0 57384 Bytes 05.09.2007 20:25:38
LUKE.DLL : 7.0.5.3 147496 Bytes 05.09.2007 20:25:39
LUKERES.DLL : 7.0.6.0 10792 Bytes 05.09.2007 20:25:39
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 20:10:55
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 20:48:14
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16.10.2007 07:05:09
ANTIVIR3.VDF : 7.0.0.120 227840 Bytes 23.10.2007 07:05:09
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 23.10.2007 07:05:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 13:41:17
AVPREF.DLL : 7.0.2.2 25640 Bytes 05.09.2007 20:25:38
AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 13:41:18
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 13:30:17
AVREG.DLL : 7.0.1.6 30760 Bytes 05.09.2007 20:25:38
AVARKT.DLL : 1.0.0.20 278568 Bytes 05.09.2007 20:25:37
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 05.09.2007 20:25:37
NETNT.DLL : 7.0.0.0 7720 Bytes 19.04.2007 13:41:17
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 05.09.2007 20:25:24
RCTEXT.DLL : 7.0.62.0 90152 Bytes 05.09.2007 20:25:24
SQLITE3.DLL : 3.3.17.1 339968 Bytes 05.09.2007 20:25:39
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Dienstag, 23. Oktober 2007 09:06
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msspa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'versatel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aoltray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdesk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'linksts.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wanmpsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'perfs.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> 'C:\WINNT\system32\perfs.exe'
Durchsuche Prozess 'mgabg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'perfs.exe' wird beendet
C:\WINNT\system32\perfs.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.drw
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478f9df3.qua' verschoben!
Es wurden '31' Prozesse mit '30' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '16' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\perfs.exe.bk
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.drw
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478f9f6f.qua' verschoben!
Ende des Suchlaufs: Dienstag, 23. Oktober 2007 09:14
Benötigte Zeit: 08:29 min
Der Suchlauf wurde vollständig durchgeführt.
4328 Verzeichnisse wurden überprüft
75669 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
75666 Dateien ohne Befall
820 Archive wurden durchsucht
4 Warnungen
0 Hinweise
Und hier ist das HijackThis Logfile: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:20:03, on 23.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\system32\Linksts.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\system32\keyhook.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Ani\LOKALE~1\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe -startup -product IncrediMail
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135788746546
O17 - HKLM\System\CCS\Services\Tcpip\..\{B995F4A3-D23B-46B7-BC3B-42131C909A5B}: NameServer = 89.246.64.8 62.220.18.8
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINNT\system32\perfs.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe
--
End of file - 4737 bytes
Bis jetzt sind keine grossartigen Probleme aufgetreten ausser das einige gespeicherten Mails verloren gegangen sind. Obs nun daran lag weiss ich nicht.
Betriebsystem Windows 2000 Prof.
Ich bitte um Hilfe !!! | 