R/Dldr.Agent.11776 wurde gefunden
 

hallo zusammen,

mit antivir bekam ich die meldung das der trojaner TR/Dldr.Agent.11776 gefunden wurde. habe ihn daraufhin in quarantäne gepackt.

kann ich ihn dort lassen, oder muss ich ihn löschen?

kenne mich nicht so gut aus und habe bissl im forum gestöbert und ein paar programme runtergeladen und mit denen gescannt.

nun meine frage is damit alles erledigt, oder ist mein pc immer noch gefährdet, bzw. infiziert?

nachfolgend poste ich mal die ergebnisse der scanner.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 11. November 2008 12:00

Es wird nach 1025852 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet


Versionsinformationen:
BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 18.07.2008 10:10:45
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 10:10:45
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 10:10:45
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 10:10:45
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:45:29
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 10:35:29
ANTIVIR2.VDF : 7.1.0.57 2048 Bytes 09.11.2008 10:35:30
ANTIVIR3.VDF : 7.1.0.67 70144 Bytes 11.11.2008 10:35:35
Engineversion : 8.2.0.29
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 11:39:45
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 06.11.2008 10:36:01
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 10:36:33
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 10:36:00
AEPACK.DLL : 8.1.3.3 393591 Bytes 06.11.2008 10:36:00
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 08.11.2008 10:36:32
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 08.11.2008 10:36:32
AEHELP.DLL : 8.1.1.3 119157 Bytes 08.11.2008 10:36:30
AEGEN.DLL : 8.1.1.0 319859 Bytes 08.11.2008 10:36:29
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 11:39:41
AECORE.DLL : 8.1.4.1 172405 Bytes 08.11.2008 10:36:27
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 11:39:40
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 10:10:45
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 10:10:45
AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 09:35:29
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 10:10:45
AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 09:41:20
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 10:10:45
SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 09:41:21
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 10:10:45
NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 09:41:21
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 10:10:44
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 10:10:44

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 11. November 2008 12:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msimn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlmangr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <xxxxxxxx>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\llyzzzt1.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.11776
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4992694d.qua' verschoben!


Ende des Suchlaufs: Dienstag, 11. November 2008 13:33
Benötigte Zeit: 1:33:29 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

14287 Verzeichnisse wurden überprüft
448535 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
448532 Dateien ohne Befall
8315 Archive wurden durchsucht
8 Warnungen
1 Hinweise

---------------------------

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1382
Windows 5.1.2600 Service Pack 2

11.11.2008 14:34:44
mbam-log-2008-11-11 (14-34-44).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 198296
Laufzeit: 1 hour(s), 49 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2d2bee6e-3c9a-4d58-b9ec-458edb28d0f6} (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

---------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:44, on 11.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://w*w.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de.yahoo.com/fsc/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 5224 bytes

so, das wars erstmal. würde mich freuen, wenn ihr mir sagen könnt, ob nun alles ok ist, oder was ich noch machen muss.

vorab schon mal danke und grüße
sabine

Hallo,

lege dir bitte einen Ordner auf den Desktop mit dem Namen "infected" an.
Packe die Datei aus der Quarantäne in diesen Ordner rein. Deaktiviere dabei den Avira-Guard temporär, sonst läuft er Amok. ;)
Lade nun die Datei im Ordner "infected" bei VirusTotal - Free Online Virus and Malware Scan hoch und poste das komplette Ergebnis.

mfg

hier das ergebnis...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.11.0 2008.11.10 -
AntiVir 7.9.0.30 2008.11.11 -
Authentium 5.1.0.4 2008.11.11 -
Avast 4.8.1248.0 2008.11.11 -
AVG 8.0.0.161 2008.11.11 -
BitDefender 7.2 2008.11.11 Trojan.Downloader.Zlob.ABLZ
CAT-QuickHeal 9.50 2008.11.11 -
ClamAV 0.94.1 2008.11.11 -
DrWeb 4.44.0.09170 2008.11.11 -
eSafe 7.0.17.0 2008.11.10 -
eTrust-Vet 31.6.6203 2008.11.11 -
Ewido 4.0 2008.11.11 -
F-Prot 4.4.4.56 2008.11.10 -
F-Secure 8.0.14332.0 2008.11.11 -
Fortinet 3.117.0.0 2008.11.11 -
GData 19 2008.11.11 Trojan.Downloader.Zlob.ABLZ
Ikarus T3.1.1.45.0 2008.11.11 -
K7AntiVirus 7.10.521 2008.11.10 -
Kaspersky 7.0.0.125 2008.11.11 -
McAfee 5430 2008.11.10 -
Microsoft 1.4104 2008.11.11 -
NOD32 3603 2008.11.11 -
Norman 5.80.02 2008.11.10 -
Panda 9.0.0.4 2008.11.10 -
PCTools 4.4.2.0 2008.11.11 -
Prevx1 V2 2008.11.11 -
Rising 21.03.12.00 2008.11.11 -
SecureWeb-Gateway 6.7.6 2008.11.11 -
Sophos 4.35.0 2008.11.11 -
Sunbelt 3.1.1785.2 2008.11.11 -
Symantec 10 2008.11.11 -
TheHacker 6.3.1.1.147 2008.11.10 -
TrendMicro 8.700.0.1004 2008.11.11 -
VBA32 3.12.8.9 2008.11.10 -
ViRobot 2008.11.11.1461 2008.11.11 -
VirusBuster 4.5.11.0 2008.11.10 -
weitere Informationen
File size: 12158 bytes
MD5...: 280cb9adf4bd2e3d51efaad76c526b0a
SHA1..: 5ba64f92c7d6a88665cc97b4e1bd0104963a393e
SHA256: 835c082be1139284f75ec3f12571413919f784267f4db89f2a3b1bcb639e92ef
SHA512: 7699e62c3cff90e3e273b518073553ed78d94aaf42b844715af20aa9e0477be5
ceb2db3af3282389903eae0e23bb3b150d532dc3c2b295fbb255f1ce28b202aa
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


hoffe das hilft weiter, mir sagt das nämlich nichts... :-)

So, sende die Datei nun bitte an Avira => Submit your sample

Wichtig: Gib bei Typ "Verdacht auf Fehlalarm" an. ;)

Wenn du das erledigt hast, führe das Tool aus:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

habe combofix herunter geladen und antivir meldet sich mit SPR/Tool.Hide.A.

meinst du das mit combofix ist unbedingt nötig, hört sich doch ziemlich kompliziert an und ich habe wenig ahnung.

Du liest schon, was man dir schreibt, oder?

jo habe ich gelesen, aber für mich heisst das, während das programm ausgeführt wird soll ich alles schliessen und nicht schon, wenn ich das programm runterlade.

...
Es ist ein Fehlalarm, das CF als bösartig erkannt wird.
Meldung ignorieren und aufschnaufen.

hier nun das ergebnis...


ComboFix 08-11-10.01 - xxxxxxxx2008-11-11 20:03:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.592 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxxxxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\icon.ico

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-11 bis 2008-11-11 ))))))))))))))))))))))))))))))
.

2008-11-11 18:53 . 2008-11-11 18:53 <DIR> d-------- c:\programme\CCleaner
2008-11-11 14:03 . 2008-11-11 14:03 <DIR> d-------- c:\programme\Trend Micro
2008-11-11 12:29 . 2008-11-11 12:29 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-11 12:29 . 2008-11-11 12:29 <DIR> d-------- c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-11-11 12:29 . 2008-11-11 12:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-11 12:29 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-11 12:29 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-06 11:20 . 2008-11-11 19:24 <DIR> d-------- C:\xxxxxxx
2008-10-15 17:59 . 2008-10-15 17:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xxxxxxx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 17:48 --------- d-----w c:\programme\Java
2008-11-11 13:07 --------- d-----w c:\programme\Yahoo!
2008-11-11 10:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-11-03 19:35 --------- d-----w c:\dokumente und einstellungen\xxxxxx\Anwendungsdaten\teamspeak2
2008-10-08 22:57 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-22 10:49 168 --sh--r c:\windows\system32\346E227B28.sys
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2008-06-22 10:49 2,516 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\progra~1\MESSEN~1\Msmsgs.exe" [2005-08-31 1658592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-01 185896]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"SoundMan"="SOUNDMAN.EXE" [2005-11-11 c:\windows\SOUNDMAN.EXE]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 c:\windows\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Dienst-Manager.lnk - c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2006-03-22 434176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=

S3 cmudau;C-Media USB Sound Interface;c:\windows\system32\drivers\cmudau.sys [2004-08-06 828160]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2005-08-10 1527900]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmUsbSound - cmcnfgu.cpl


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\6iwzk4vc.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2008-11-11 20:04:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-11 20:04:58
ComboFix-quarantined-files.txt 2008-11-11 19:04:56

Vor Suchlauf: 49 Verzeichnis(se), 20.641.189.888 Bytes frei
Nach Suchlauf: 49 Verzeichnis(se), 20,890,181,632 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

102 --- E O F --- 2007-12-22 10:09:23

Sieht gut aus,
jetzt kannst du CF deinstallieren:


Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Wird der Agent noch von Avira gemeldet?

habe nochmal gescannt und das war das einzigste was noch gefunden wurde, was auch immer das sein mag.

C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6iwzk4vc.default\Cache\C2152591d01
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494ae1c4.qua' verschoben!
C:\System Volume Information\_restore{685EC446-470B-42F8-A84F-83CF2FC8D596}\RP166\A0105975.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494ae59e.qua' verschoben!
C:\System Volume Information\_restore{685EC446-470B-42F8-A84F-83CF2FC8D596}\RP166\A0105994.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494ae5a3.qua' verschoben!

Das sind die CF-Komponenten im Browsercache.

Also nichts, was dich beunruhigen sollte. ;)

juchuuuuuuuuuuu.....freu.... :)

also kann ich davon ausgehen, das nun wieder alles ok ist?

nun hab ich aber doch noch ne frage, was ist mit den dingern im quarantäne ordner? bleiben die da bis in alle ewigkeit drin oder muss ich die löschen?


achja und bevor ichs vergesse, ganz lieben dank für die tolle und super schnelle hilfe.

:dankeschoen: :dankeschoen: :dankeschoen:

Die kannst du löschen, wenn du Lust hast.
Kein Problem. ;)