Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner geht nicht weg! (https://www.trojaner-board.de/39635-trojaner-geht-weg.html)

Sylvus 05.06.2007 07:57
Trojaner geht nicht weg!
 
Hi,
bin neu hier, macht aber nichts also, Ich nutze AntiVir und seit circa einer Woche findet das Programm immer wieder den gleichen Virus.
Problem ist das ich ihn immer in Quarantäne verschiebe er aber ein paar Stunden (oder Neustart) wieder da ist. Im Internet habe ich keine Hinweise zu dem Virus gefunden darum hier mal der Name: TR/Agent.Gam.309872
Der Virus befindet sich in C:/System Volume Information
Ich habe keine Ahnung was ich machen soll. Auf gar keinen Fall Windows neu installieren, aber hat der Trojaner jetzt auch schon alle meine Passwörter bekommen? Ich habe auch schon einen komplett Scan gemacht, aber nichts gefunden!
Grüße Sylvus

//edit Wenn noch Fragen offen sind einfach posten :-)

R3D3 05.06.2007 08:02
Moinsen,

poste ein Hijackthis-Log nach der in diesem Forum vorhandenen Anleitung.

Sylvus 05.06.2007 08:13
Habe das noch nei gemacht, ahbe mir das Programm einfach herruntergeladen und das als Auswertung bekommen:

Logfile of HijackThis v1.99.1
Scan saved at 09:06:42, on 05.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Xfire\xfire.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
D:\Programme\Opera\Opera.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\DOKUME~1\xxxxx\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {AE54A6F9-ACA7-4AE6-838F-F623BBC14F3F} - C:\WINDOWS\system32\devenumd.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpeedX] D:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Hoffe das reicht!
AH EBEN habe ich mit AntiVir das gefunden:
EXP/MS05-013
Ein ganzer Ordern mit dem Namen op62 oder so im Order EigeneDatein enthielt 8 von diesen Viren. Was ist damit?
Ach man, mein Rechner ist futsch..... :heulen:

So erstmal ab in die Schule, bis heute Nachmittag! HEFLT MIR! DANKE! Grüße Sylvus

Sylvus 05.06.2007 08:15
Hier der AntiVir Suchdurchlauf:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 5. Juni 2007 08:58

Es wird nach 806459 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: xxxxx
Computername: xxxxxxxx

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 21.04.2007 20:40:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 21.04.2007 20:40:08
LUKE.DLL : 7.0.4.11 143400 Bytes 21.04.2007 20:40:09
LUKERES.DLL : 7.0.4.0 10792 Bytes 21.04.2007 20:40:09
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 15:12:26
ANTIVIR2.VDF : 6.38.1.200 169472 Bytes 29.05.2007 13:32:57
ANTIVIR3.VDF : 6.38.1.224 147968 Bytes 04.06.2007 18:34:42
AVEWIN32.DLL : 7.4.0.29 2478592 Bytes 30.05.2007 13:32:57
AVWINLL.DLL : 1.0.0.7 14376 Bytes 21.04.2007 20:40:08
AVPREF.DLL : 7.0.2.1 24616 Bytes 21.04.2007 20:40:08
AVREP.DLL : 7.0.0.1 155688 Bytes 21.04.2007 20:40:09
AVPACK32.DLL : 7.3.0.10 360488 Bytes 30.05.2007 13:32:57
AVREG.DLL : 7.0.1.2 31784 Bytes 21.04.2007 20:40:08
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 21.04.2007 20:40:06
AVARKT.DLL : 1.0.0.17 278568 Bytes 08.05.2007 16:55:59
NETNT.DLL : 7.0.0.0 7720 Bytes 21.04.2007 20:40:09
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 21.04.2007 20:40:01
RCTEXT.DLL : 7.0.45.0 86056 Bytes 21.04.2007 20:40:01

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\xxxxx\LOKALE~1\Temp\30711c70.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 5. Juni 2007 08:58

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A7B.htm
[0] Archivtyp: GZ
--> opr04A7B
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c41.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxxAnwendungsdaten\Opera\Opera\profile\cache4\opr04A7J.shtml
[0] Archivtyp: GZ
--> opr04A7J
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c49.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A7O.shtml
[0] Archivtyp: GZ
--> opr04A7O
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c4e.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A7T.shtml
[0] Archivtyp: GZ
--> opr04A7T
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c51.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A7Z.shtml
[0] Archivtyp: GZ
--> opr04A7Z
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c53.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A80.shtml
[0] Archivtyp: GZ
--> opr04A80
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c54.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A86.shtml
[0] Archivtyp: GZ
--> opr04A86
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c55.qua' verschoben!
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Opera\Opera\profile\cache4\opr04A8C.shtml
[0] Archivtyp: GZ
--> opr04A8C
[FUND] Enthält Signatur des Exploits EXP/MS05-013
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46d70c5a.qua' verschoben!


Ende des Suchlaufs: Dienstag, 5. Juni 2007 09:13
Benötigte Zeit: 15:36 min

Der Suchlauf wurde abgebrochen!

3734 Verzeichnisse wurden überprüft
60535 Dateien wurden geprüft
8 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
60527 Dateien ohne Befall
630 Archive wurden durchsucht
1 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:27 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129