AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
 

Sehr geehrtes Forum,
ich habe heute seit längerem wieder mal einen komplettscan mit AVG 8.5 gemacht, das Programm hat folgendes gefunden:

"C:\OpenOffice.org 2.0 Installation Files\openofficeorg1.cab";"Trojan horse Generic15.EAM";"Infected"
"C:\OpenOffice.org 2.0 Installation Files\openofficeorg1.cab:\configimport.exe";"Trojan horse Generic15.EAM";"Infected"
"C:\Programme\OpenOffice.org 2.0\program\configimport.exe";"Trojan horse Generic15.EAM";"Moved to Virus Vault"

Hab jetzt wie in der FAQ angegeben die log-dateien von CCleaner, Antimalware und RSI erstellt und angefügt, ich hoffe mir kann jemand sagen ob da bereits das system verseucht ist. (Antimalware findet zudem noch einige andere Sachen).

Vielen Dank im Voraus!

Hallo,

die Funde in OpenOffice sehen mir eher nach Fehlalarmen aus.
Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Danke erstmal.
Hier der Inhalt von lopR.txt:


Fortsetzung folgt...

so, letzter Teil:

Bitte nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi,
habe die betreffenden Logfiles bereits an mein Eröffnungsposting angehängt!
Bitte gib mir bescheid falls ich das ganze nochmal machen soll!
Danke!!

***schieb***

Ach da hab ich mich versehen, man möge mir verzeihen :o
Ich wollte Dir eigentlich Combofix als Anleitung geben.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, das ist die Log-Datei von Combofix:

ComboFix 09-10-30.01 - XXXXX 01.11.2009 21:34.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.43.1031.18.2047.1446 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXXXX\Desktop\cofi.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\AD ON Multimedia
c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini
c:\dokumente und einstellungen\XXXXX1\Eigene Dateien\ZbThumbnail.info

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-01 bis 2009-11-01 ))))))))))))))))))))))))))))))
.

2009-10-31 23:15 . 2009-10-31 23:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2009-10-31 23:12 . 2009-09-25 15:35 593920 ------w- c:\windows\system32\ati2sgag.exe
2009-10-29 20:12 . 2009-10-29 20:14 -------- d-----w- C:\Lop SD
2009-10-28 21:01 . 2009-10-28 21:01 -------- d-----w- c:\dokumente und einstellungen\XXXXX1\Anwendungsdaten\Malwarebytes
2009-10-28 20:58 . 2009-10-28 21:00 -------- d-----w- c:\programme\trend micro
2009-10-28 20:58 . 2009-10-28 20:58 -------- d-----w- C:\rsit
2009-10-27 21:14 . 2009-10-27 21:14 -------- d-----w- c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Malwarebytes
2009-10-27 21:14 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-27 21:14 . 2009-10-27 21:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-10-27 21:14 . 2009-10-27 21:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-10-27 21:14 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-11 18:45 . 2009-10-11 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Saitek
2009-10-07 12:08 . 2009-10-07 12:08 -------- d-----w- c:\dokumente und einstellungen\XXXXX\Lokale Einstellungen\Anwendungsdaten\Risen
2009-10-05 17:44 . 2009-10-05 19:19 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2009-10-03 21:59 . 2009-10-03 21:59 -------- d-----w- c:\programme\Xvid
2009-10-03 21:59 . 2009-06-07 14:24 180224 ----a-w- c:\windows\system32\xvidvfw.dll
2009-10-03 21:59 . 2009-06-07 14:16 819200 ----a-w- c:\windows\system32\xvidcore.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-01 20:10 . 2001-08-18 12:00 82972 ----a-w- c:\windows\system32\perfc007.dat
2009-11-01 20:10 . 2001-08-18 12:00 453106 ----a-w- c:\windows\system32\perfh007.dat
2009-10-31 23:12 . 2008-08-03 13:56 -------- d-----w- c:\programme\ATI Technologies
2009-10-30 20:11 . 2009-03-21 22:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-10-30 16:07 . 2009-02-07 21:51 281760 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-10-30 16:03 . 2008-08-03 12:45 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-10-28 18:28 . 2008-08-21 13:43 -------- d-----w- c:\programme\CCleaner
2009-10-24 19:00 . 2008-08-05 15:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-10-17 15:47 . 2009-04-01 20:43 -------- d-----w- c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\ZoomBrowser EX
2009-10-07 12:07 . 2009-02-07 21:51 25888 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-10-07 12:07 . 2008-08-15 09:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-10-07 12:06 . 2008-08-15 09:52 -------- d-----w- c:\programme\AGEIA Technologies
2009-09-26 23:13 . 2009-07-14 07:47 -------- d-----w- c:\dokumente und einstellungen\XXXXX1\Anwendungsdaten\XnView
2009-09-23 22:59 . 2008-08-03 13:08 4481024 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2009-09-23 22:39 . 2009-09-23 22:39 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll
2009-09-23 22:38 . 2008-08-03 13:08 299520 ----a-w- c:\windows\system32\ati2dvag.dll
2009-09-23 22:21 . 2009-09-23 22:21 204800 ----a-w- c:\windows\system32\atipdlxx.dll
2009-09-23 22:21 . 2009-09-23 22:21 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2009-09-23 22:21 . 2009-09-23 22:21 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2009-09-23 22:20 . 2009-09-23 22:20 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2009-09-23 22:20 . 2009-09-23 22:20 155648 ----a-w- c:\windows\system32\ati2evxx.dll
2009-09-23 22:19 . 2009-09-23 22:19 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2009-09-23 22:17 . 2009-09-23 22:17 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2009-09-23 22:11 . 2009-09-23 22:11 311296 ----a-w- c:\windows\system32\atiiiexx.dll
2009-09-23 22:09 . 2008-08-03 13:08 3506080 ----a-w- c:\windows\system32\ati3duag.dll
2009-09-23 21:58 . 2009-09-23 21:58 12644352 ----a-w- c:\windows\system32\atioglxx.dll
2009-09-23 21:53 . 2008-08-03 13:08 2096384 ----a-w- c:\windows\system32\ativvaxx.dll
2009-09-23 21:53 . 2009-09-23 21:53 887724 ----a-w- c:\windows\system32\ativva6x.dat
2009-09-23 21:53 . 2009-09-23 21:53 3 ----a-w- c:\windows\system32\ativva5x.dat
2009-09-23 21:36 . 2009-09-23 21:36 65024 ----a-w- c:\windows\system32\atimpc32.dll
2009-09-23 21:36 . 2009-09-23 21:36 65024 ----a-w- c:\windows\system32\amdpcom32.dll
2009-09-23 21:32 . 2009-09-23 21:32 561152 ----a-w- c:\windows\system32\atikvmag.dll
2009-09-23 21:31 . 2009-09-23 21:31 45056 ----a-w- c:\windows\system32\aticalrt.dll
2009-09-23 21:31 . 2009-09-23 21:31 45056 ----a-w- c:\windows\system32\aticalcl.dll
2009-09-23 21:30 . 2009-09-23 21:30 167936 ----a-w- c:\windows\system32\atiadlxx.dll
2009-09-23 21:29 . 2009-09-23 21:29 17408 ----a-w- c:\windows\system32\atitvo32.dll
2009-09-23 21:29 . 2009-09-23 21:29 3489792 ----a-w- c:\windows\system32\aticaldd.dll
2009-09-23 21:28 . 2009-09-23 21:28 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2009-09-23 21:27 . 2009-09-23 21:27 401408 ----a-w- c:\windows\system32\atiok3x2.dll
2009-09-23 21:23 . 2008-08-03 13:08 638976 ----a-w- c:\windows\system32\ati2cqag.dll
2009-09-01 19:55 . 2009-09-01 19:55 195855 ----a-w- c:\windows\system32\atiicdxx.dat
2009-08-27 17:17 . 2009-03-25 15:28 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2009-08-27 17:17 . 2009-03-25 15:28 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2009-08-23 07:33 . 2008-08-06 12:34 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-08-23 07:33 . 2008-08-06 12:34 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-08-23 07:33 . 2008-08-06 12:34 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-10-19 2025752]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-25 98304]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-09-19 16844800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
NETGEAR WG111v3 Setup-Assistent.lnk - c:\programme\NETGEAR\WG111v3\WG111v3.exe [2008-7-1 1937408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-08-23 07:33 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Crysis\\Bin32\\Crysis.exe"=
"e:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"e:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"e:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"e:\\F.E.A.R. Ultimate\\FEAR.exe"=
"e:\\F.E.A.R. Ultimate\\FEARMP.exe"=
"e:\\F.E.A.R. Ultimate\\FEARXP\\FEARXP.exe"=
"e:\\Mass Effect\\Binaries\\MassEffect.exe"=
"e:\\Mass Effect\\MassEffectLauncher.exe"=
"f:\\Kane and Lynch\\kaneandlynch.exe"=
"f:\\Dead Space\\Dead Space.exe"=
"f:\\Racedriver Grid\\GRID.exe"=
"f:\\Ultima Online\\client.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [06.08.2008 13:34 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [06.08.2008 13:34 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [06.08.2008 13:34 908056]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [06.08.2008 13:34 297752]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09.10.2007 12:13 38144]
R3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28.12.2007 14:02 287232]
S2 gupdate1c9aa7628bfa662;Google Update Service (gupdate1c9aa7628bfa662);c:\programme\Google\Update\GoogleUpdate.exe [21.03.2009 23:41 133104]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CLASSPNP_2
*NewlyCreated* - MBR
*Deregistered* - CLASSPNP_2
*Deregistered* - mbr
.
Inhalt des "geplante Tasks" Ordners

2009-11-01 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-21 22:40]

2009-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-21 22:41]

2009-11-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-21 22:41]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\XXXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\5w05srux.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.7\npGoogleOneClick8.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-01 21:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-448539723-1637723038-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:14,73,fa,f6,3e,5a,ab,29,82,c6,18,52,8b,b0,ad,91,5a,78,87,dc,dd,c5,b1,
f1,b4,0c,9a,96,1e,11,6c,d1,73,e1,9b,dc,43,3d,e1,e0,53,4d,50,fe,b9,31,fc,c9,\
"??"=hex:c0,dc,ff,de,59,d3,16,e8,90,6c,cf,71,1c,94,34,e9

[HKEY_USERS\S-1-5-21-448539723-1637723038-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:d9,a1,e5,33,5b,01,10,e5,7f,06,c1,c5,d1,a9,c7,f5,57,9e,82,18,c5,
0a,fa,bb,1a,25,9f,01,b4,65,31,69,de,4d,d0,45,bc,7d,08,d6,88,46,10,c6,4f,f7,\
"rkeysecu"=hex:cf,fd,36,ed,8f,83,8f,67,d5,d5,68,a4,04,da,e7,c7

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\æHôwæ
*]
"DisplayName"="???\17?\11\09"
"DeviceDesc"="???\17?\11\09"
"ProviderName"="?a?\11?\17?\11??"
"MFG"="???????"
"ReinstallString"=".10.1000.8"
"DeviceInstanceIds"=multi:"d:\\drivers\\all in 1\\amd\\xp64_xp(8.47-sb)\\smbus\\smbusati.inf\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(568)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-11-01 21:37
ComboFix-quarantined-files.txt 2009-11-01 20:37

Vor Suchlauf: 13 Verzeichnis(se), 22.653.251.584 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 24.207.613.952 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer

- - End Of File - - 3C4DCD67A7B9479B447E55DAE5BE7AA4

Wie ist es nun um Deinen PC bestellt? Noch Meldungen? Mach mal bitte einen Kontrollscan:

Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

PrevXCSI findet keine Bedrohung, ebenso AVG.
Ist die Sache nun erledigt, was meinst du?? :alc:

Die Logs sahen soweit Okay aus und Probleme gabs auch keine weiteren mehr oder? Wenn dem so ist, kann ich Dich entlassen :)

Dann bedanke ich mich mal recht herzlich, cosinus :dankeschoen: und beschliesse den thread :juul: