TR/Agent.106526' [trojan] in D:\Programme\Left 4 Dead\left4dead.exe
 

Hallo zusammen.

Ich habe in der letzten Zeit 2 mal eine Meldung von Antivir wegen eines gefundenen unerwünschten Programms bekommen und dummerweise beim zweiten mal "löschen" gewählt. :(
Dann habe ich das Programm in dessen .exe es gefunden wurde deinstalliert und seitdem hat sich die Schriftart meines Betriebssystems von alleine umgestellt und irgendetwas gibt mir das Gefühl, das sich der Überltäter immer noch in meinem System herumtreibt.

hier die Funde:

C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].

C:\System Volume Information\_restore{486FF0F5-3652-4A80-BB4A-D2DB1F4379C0}\RP25\A0004510.exe'
wurde ein Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B'

D:\Programme\Left 4 Dead\left4dead.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.106526' [trojan]


Ich habe mal mit Malwarbytes Anti-Malware alles gescannt, auch eine externe Festplatte und habe dort nichts gefunden.
Außerdem habe ich bei google mal geguckt, aber ncihts für mich hilfreiches gefunden.

Ich wäre euch sehr verbunden, wenn sich mal jemand meinen Hijack-log ansieht und mir vielleicht sagen kann ob alles in Ordnung ist oder nicht.

Ich bedanke mich jetzt schonmal für Hilfe und freue mich von euch zu hören.


Hier meine Technischen Daten und der Hijackthis- log:


Betriebssystemname Microsoft Windows XP Professional
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname ****
Systemhersteller System manufacturer
Systemmodell System Product Name
Systemtyp X86-basierter PC
Prozessor x86 Family 15 Model 6 Stepping 4 GenuineIntel ~2808 Mhz
BIOS-Version/-Datum American Megatrends Inc. 0614, 05.09.2006
SMBIOS-Version 2.4
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ****\*****
Zeitzone Westeuropäische Normalzeit
Gesamter realer Speicher 4.096,00 MB
Verfügbarer realer Speicher 2,09 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 5,78 GB
Auslagerungsdatei C:\pagefile.sys

Mainboard: Asus P5B deluxe
Grafikkarte: NVIDIA GeForce 7600GS


Hijackthis.log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:11, on 08.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\SEC\Natural Color Pro\NCProTray.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.daemonsearch.com/intl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\SMax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NCProTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187367688312[/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Unknown owner - D:\Programme\Alex Feinman\ISO Recorder\ImapiHelper.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 9153 bytes


Danke nochmals für die Hilfe...ich hoffe mal, dass mein System noch zu retten ist :)

Anbei hat Antivir gerade noch als ich es dann endlich mal Aggressiv eingestellt habe volgendes gefunden....:(
HTML/Spoofing.Gen

Bei mir ist heute genau das gleiche Problem aufgetreten. :schmoll:
Antivir hat nun 2 Funde von TR/Agent.106526 gemeldet. Bin jedesmal auf "löschen" gegangen, mit der Befürchtung, daß das noch nicht das Ende ist...
Wohl kaum ein Zufall, daß das am gleichen Tag passiert.

So ziemlich alle Schriftarten aller Windows-Themes wurden auf "Tahoma" umgestellt.
Wie wird man das Ding wieder los?

ich habe genau das gleiche Problem wie jihegamo. Auch heute aufgetreten.

mich hat es heut auch erwischt...die ganze zeit davor lief es problemlos..

hmm bei mir is der auch in left 4 dead drin -.- hatte nen anderen virus mir backdoor drin..der hat diesen trojaner TR/Agent.106526 dann reingelassen der jetzt aber auch in der partition e hängt..der virus backdoor war nur in c ..muss den pc wohl schnellstmöglich plätten bevor noch mehr kommt -.-

noch einer TR/Spy.90112.70 [trojan]' in e/battleifled 2

und gibts was neues?fehlalarm???

Schickt eure Funde doch einfach an Submit your sample und lasst es mit "Verdacht auf Fehlalarm" die Datein auswerten.

Ach Krass, so viele haben das Ding!
Ihr wart aber nicht zufällig auch noch alle auf der Northcon oder? :D
Naja, Antwort gabs bisher noch nicht, aber ich bin immer noch voller Hoffnung das es behebbar ist. Naja, selbst wenn es dann zum plätten kommt, habe ich das wichtigste zum Glück extern gesichert und aus Fehlern lernt man ja bekanntlich. Trotzdem ätzend.

ich al s noob denk is fehlalarm..stelle keine veränderungen fest..wenn google die nächsten tage nix ergibt setz ich neu auf...kp;)

hey,

vorerst ich bin kein helfer, ich kann weiteren Betroffenden dennoch folgendes vorschlagen:

Pfade der Infizierten Dateien merken !

Die Dateien bitte zur Sicherheit auf Virustotal

hochladen und logfiles posten.

Dort werden die Dateien von verschiedensten Scannern untersucht, geloggt, auf schädlichkeit überprüft, und sollten es neue Schädlinge sein, werden dafür sogar neue Signaturen erstellt.

HI, irgendwie scheint das ja hier im sande verlaufen zu sein
....würde gern mal wissen was dabei rum gekommen ist ...
Es gibt da nämlich nen gecrackten release der genau den trojaner schon drin hat ...
nehme mal an da hat einer mit der kauf version bei nem gecrackten server gezockt und somit konnte sich der virus auch weiter bei anderen leuten die die gekaufte version haben verteilen ...wäre schon ein ziemlich großer zufall wenns nicht so wäre denn es ist genau der trojaner den jetzt immer mehr leute bei sich in ihrem gekauften left4dead entdecken ...
jedenfalls die leute die die gecrackte version haben trösten sich damit das nicht alle virenkiller den virus erkennen somit sei es ja nur ein fake weil ihr viruskiller den nicht erkennt ..lol