Trojaner-Board - Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme (https://www.trojaner-board.de/99182-trojaner-psw-agent-amdq-c-dokumente-einstellungen-c-programme.html)

Zitat:

Ist das nicht n Treiber?
RDPWD= Liest sich iwie als Read Password...

Gesund oder eher ungesund?

RDPWD.sys Windows Prozess - Was ist das?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Okay, durchaus hohe Wahrscheinlichkeit, dass es ungesund ist.

Mach mich dann ans Combo Fix.

Ich weiß nicht in wie weit das relevant ist, aber mein Desktop hat mich darauf aufmerksam gemacht, dass ich "unbenutzte" Dateien bei ihm rumfliegen hab und bot mir an, diese mit dem Desktop Bereinigungsassistenten zu entfernen.

Ähm, kleines Problemchen...

Haber meine AVG dicht gemacht, cofi hätte es aber lieber, wenn ich es deinstalliere...

Was nun?

(Off Topic: Ich höre Blitze über meine Boxen o.O In Form von nem Knistern.... Spooky)

Ja, AVG musst du deinstallieren. Es ist nicht kompatibel mit CF, eine Deaktivierung reicht da nicht aus.

Okay, mach ich!

Tut mir leid, dass ich mich erst jetzt wieder melde. Hier hats die letzten zwei Tage in einem durch gewittert und ich hab meinen Rechner dann lieber nicht an der Steckdose.

Bräuchte ich nach Cofi noch andere Programme? Würde die dann vorab runterladen.

Ah ja, aber die kannst du problemlos laden wenn wir sie dann wirklich brauchen...

Combofix Logfile:

Code:

ComboFix 11-05-23.02 - Koi 24.05.2011  16:36:26.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.247 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Koi\Desktop\cofi.exe

FW: NVIDIA Firewall *Enabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-04-24 bis 2011-05-24  ))))))))))))))))))))))))))))))

.

.

2011-05-17 18:55 . 2011-05-17 18:55        --------        d-----w-        C:\_OTL

2011-05-16 22:22 . 2011-05-16 22:22        --------        d-----w-        c:\dokumente und einstellungen\Koi\Anwendungsdaten\Malwarebytes

2011-05-16 22:21 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-16 22:21 . 2011-05-16 22:21        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-05-16 22:20 . 2011-05-16 22:21        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-05-16 22:20 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-05-16 06:41 . 2011-05-16 06:41        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü

2011-05-15 18:32 . 2011-05-15 18:33        --------        d-----w-        c:\dokumente und einstellungen\Koi\Anwendungsdaten\vlc

2011-05-15 18:30 . 2011-05-15 18:30        --------        d-----w-        c:\programme\VideoLAN

2011-05-01 20:16 . 2008-04-14 02:22        26624        ----a-w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

2011-04-29 13:39 . 2011-04-29 13:39        --------        d-----w-        c:\programme\Windows Media Connect 2

2011-04-29 13:34 . 2011-04-29 13:37        --------        d-----w-        c:\windows\system32\drivers\UMDF

2011-04-29 13:34 . 2011-04-29 13:34        --------        d-----w-        c:\windows\system32\LogFiles

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-22 16:39 . 2010-06-15 20:14        60416        ----a-w-        c:\windows\ALCFDRTM.VER

2011-03-07 05:33 . 2010-01-01 14:35        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-03-04 06:44 . 2006-02-28 12:00        434176        ----a-w-        c:\windows\system32\vbscript.dll

2011-03-03 13:53 . 2006-02-28 12:00        1858048        ----a-w-        c:\windows\system32\win32k.sys

2007-05-27 23:50 . 2010-11-27 20:00        21692416        ----a-w-        c:\programme\SimsPS.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]

"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 266240]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-02 149280]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"SoundMan"="SOUNDMAN.EXE" [2005-06-20 77824]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\Koi\Startmen\Programme\Autostart\

OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

.

R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [08.01.2011 16:37 114432]

S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [08.01.2011 16:37 100736]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17.05.2011 00:21 38224]

S4 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys --> c:\windows\system32\DRIVERS\AVGIDSShim.Sys [?]

.

Inhalt des "geplante Tasks" Ordners

.

2011-05-24 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2010-08-09 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

LSP: %SYSTEMROOT%\system32\nvappfilter.dll

Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - 

FF - ProfilePath - c:\dokumente und einstellungen\Koi\Anwendungsdaten\Mozilla\Firefox\Profiles\siegrsk2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.lycos.de

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: AVG Safe Search: {1E73965B-8B48-48be-9C8D-68B920ABC1C4} - c:\programme\AVG\AVG10\Firefox4

FF - Ext: NASA Night Launch: nasanightlaunch@example.com - %profile%\extensions\nasanightlaunch@example.com

FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-nwiz - nwiz.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-05-24 16:41

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'lsass.exe'(932)

c:\windows\system32\nvappfilter.dll

.

- - - - - - - > 'explorer.exe'(3056)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2011-05-24  16:43:42

ComboFix-quarantined-files.txt  2011-05-24 14:43

.

Vor Suchlauf: 7 Verzeichnis(se), 33.262.231.552 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 33.533.337.600 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 04F82C3C72E9872E0DF4BC68A058F27B

--- --- ---

Habe jetzt das Problem, dass mein Browser, meine Enter-Tasten nicht akzeptiert...

Edit: Und ich hatte den IE auf einmal auf meinem Desktop...

Nach CF den Rechner 1x neustarten, dann sollten solche Schönheitsfehler behoben sein.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Beim Neuinstalliere meines AVG werd ich grad vonner Firewall gefragt, pb ich dem AVGIDSAgent - AVG Internet Security, den Zugriff erlauben soll.

Is der clean?

Zitat:

pb ich dem AVGIDSAgent - AVG Internet Security, den Zugriff erlauben soll.

Wieso denn AVG InternetSecurity? hab ich dir nich von einer Suite im anderen Strang abgeraten und du wolltest den kram auch nicht anfassen? :confused:

Nee, das is die Free Version. Werd bei der Installation aber grad nach dem Viech gefragt.

Ich sag nicht a und mach b.

Soll ich dem denn den Zugriff verweigern, oder erlauben?

Ich hab auch nur nachgefragt weil dort InternetSecurity steht. Vllt hast dich ja verklickt oder so :pfeiff:

Zitat:

FW: NVIDIA Firewall *Enabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

Das Teil kannst du im Grunde eh knicken. Deinstallier es und verwende die Windows-Firewall.

Okay.

Genau die fragt mich aber grade.
Ist dieser AVG Agent denn sauber?
Voher mach ich nix andres.

Wieso denn knicken?
Taugt die nix?

Zitat:

Ist dieser AVG Agent denn sauber?

Ein Programm, das eine ausgehende Verbindung haben will, ist doch nicht automatisch unsauber...
Vertraust du nun AVG oder nicht?

Zitat:

Wieso denn knicken?
Taugt die nix?

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

[QUOTE]Ein Programm, das eine ausgehende Verbindung haben will, ist doch nicht automatisch unsauber...
Vertraust du nun AVG oder nicht?[qoute]

Durch den Trojaner bin ich mir verdammt unsicher geworden.

Zitat:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst

Aaaargh!
Da fängt man sich einmal was ordentliches ein (auch wenn ich immer noch net weiß wo das Teil herkommt) und schon is man n Hallodrie :-)