|
Plagegeister aller Art und deren Bekämpfung: Win32:Agent-UBX(Trj)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.04.2008, 16:02 | #16 |
| Win32:Agent-UBX(Trj) Hallo lade die Datei bitte mal hier hoch Submit your sample du wirst per Mail in wenigen Tagen informiert was sich hinter der Datei verbirgt und ob sie Schadcode enthällt. Schicke die Datei auch an Avast die Adresse findest du hier http://www.trojaner-board.de/19273-v...einsenden.html dort findest du auch Hinweise wie die Datei zu versenden ist. Bis dahin würde ich so wenig wie möglich Zeit Online verbringen. Poste dann bitte das Ergebnis von Avira. EDIT : Von Avast wirst du wohl auch hören MFG Geändert von nochdigger (05.04.2008 um 16:15 Uhr) Grund: Nachtrag |
05.04.2008, 16:04 | #17 |
| Win32:Agent-UBX(Trj) hallo.
__________________du meinst bestimmt avast.(sorry fehler von mir, habs falsch verstanden) gruß |
05.04.2008, 16:19 | #18 |
| Win32:Agent-UBX(Trj) puh jetzt hab ich die datei gepackt, aber wie man die mit einem passwort versieht weis ich nicht.
__________________kann ich die auch so verschicken? sorry wenn ich jetzt blöd frag aber, ist es normal wenn man eine datei packt dass sie dann aus dem verzeichnis verschwindet? ich habe gedacht da wird eine kopie erstellt und die kopie dann gepackt. |
06.04.2008, 09:06 | #19 |
| Win32:Agent-UBX(Trj) Moin die Packprogramme bieten i.d.R. eine Option zum Passwort erteilen, müssen aber eventuell gesucht werden. Wenn dein Programm diese Option nicht bietet, schreibe (in englisch?) es in der E-Mail, dass die Datei ohne Passwort gepackt ist. MFG |
06.04.2008, 10:28 | #20 |
| Win32:Agent-UBX(Trj) moin, ich habs mit dem totalcom. gepackt. anscheinend bin ich blind, da ich die taste für das passwort nicht gefunden hab. ich habs gestern so losgeschickt. bestätigungsmail hab ich erhalten + link wie und wo es bearbeitet wird. wenn du möchtst kann ich dir es per pn zukommen lassen. gruß |
06.04.2008, 10:51 | #21 | |
| Win32:Agent-UBX(Trj) Moin Zitat:
MFG |
07.04.2008, 11:34 | #22 |
| Win32:Agent-UBX(Trj) hallo, heute ist schon die erste meldung gekommen. Code:
ATTFilter Sehr geehrte Dame, sehr geehrter Herr, Vielen Dank für Ihre Email an Avira's Virenlabor. Auftragsnummer: INC00136272. Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt: Datei ID Dateiname Größe (Byte) Ergebnis 3809672 msmmas.dll 6 KB DAMAGED FILE (UNKNOWN) Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt: Dateiname Ergebnis msmmas.dll DAMAGED FILE (UNKNOWN) Die Datei 'msmmas.dll' wurde als 'DAMAGED FILE (UNKNOWN)' eingestuft. Dies bedeutet, dass diese Datei beschädigt und nicht richtig lauffähig ist. Wir konnten keinen gefährlichen Inhalte finden. Es ist möglich, dass das Heuristik-Modul diese Datei erkennt obwohl es sich hierbei um eine nicht lauffähige Datei handelt. In diesem Fall werden wir die Erkennung des Produkts nicht enternen. Produkts nicht enternen.<<<<< verstehe nicht was genau damit gemeint ist. gruß |
07.04.2008, 19:07 | #23 |
| Win32:Agent-UBX(Trj) hallo, ich bin grad mal durch "regedit" gegangen um nach diesen dateien/einträgen zu suchen (vom escanlog) Offending Key found: HKCU\Software\kazaa !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com hklm\software\microsoft\windows\currentversion\run/icq lite ich habe alle gefunden, wäre es nicht besser diese zu löschen? also in der registrierung. was mich wundert ist, dass ich "kazaa" nie auf meinem system installiert hatte. |
08.04.2008, 06:07 | #24 |
| Win32:Agent-UBX(Trj) moin allerseits, so ich hab heute nochmal auf die links geschaut die ich von avast bzw. avira bekommen habe. auf bei den war die oben(zwei vorher) genannte meldung zu lesen. wie machen wir jetzt weiter? gruß |
08.04.2008, 15:09 | #25 |
| Win32:Agent-UBX(Trj) mittlerweile bekomme ich beim versuche den arbeitsplatz oder den windows-explorer die meldung >>>>rundll fehler c:\windows\system32/shell32.dll unzulässiger zugriff auf einen Speicherbereich<<<< nach dem neustart des pc´s ist alles wieder in ordnung, bis er einige zeit gelaufen ist. dann geht das selbe wieder von vorne los. des weiteren werden die sicherheitseinstellungen für das internet verstellt. ich stell sie wieder richtig ein. nach dem dritten oder vierten computerneustart sind sie wieder verstellt. gruß |
08.04.2008, 18:07 | #26 |
Administrator > Competence Manager | Win32:Agent-UBX(Trj) Um hier mal eine gewisse Übersicht zu bekommen, mach bitte mal folgendes: Erstellung eines Hijacklog
ComboFix
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
08.04.2008, 19:16 | #27 |
| Win32:Agent-UBX(Trj) hallo, Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:00, on 08.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Acer\Acer eMode Management\AspireService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\a-squared Anti-Dialer\a2adguard.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\a-squared Anti-Dialer\a2service.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Electronic Arts\EADM\Core.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\System32\svchost.exe D:\Download\virensucher neu\This.exe C:\WINDOWS\system32\wbem\wmiprvse.exe O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Burn4Free Toolbar Helper - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Burn4Free Toolbar - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ntiMUI] c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150666801812 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 8657 bytes combofix läuft nicht mehr, bzw. läßt sich nicht starten auch nicht im abgesicheten modus. habe nur den log von gestern zur hand, wenn der dir auch reicht, hatte da combofix auf eigene faust nochmal rüber laufen lassen. Code:
ATTFilter ComboFix 08-04-03.5 - Andreas 2008-04-07 13:55:39.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1062 [GMT 2:00] ausgeführt von:: D:\Download\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . TimedOut: progfile.dat (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\regedit.com C:\WINDOWS\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2008-03-07 bis 2008-04-07 )))))))))))))))))))))))))))))) . 2008-04-07 13:54 . 2008-04-07 13:54 <DIR> d-------- C:\ComboFix(2) 2008-04-05 22:50 . 2008-04-05 22:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-05 22:50 . 2008-04-05 22:50 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-05 15:53 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-04-05 15:53 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-04-05 15:53 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-04-05 15:53 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-04-05 15:53 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-04-05 15:53 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-04-05 15:53 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-04-05 15:47 . 2008-04-05 23:42 3,848 --a------ C:\WINDOWS\system32\tmp.reg 2008-04-05 00:23 . 2008-04-05 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes 2008-04-04 19:40 . 2008-04-04 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-04-04 15:18 . 2008-04-04 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft 2008-04-03 21:42 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys 2008-04-03 21:42 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys 2008-03-29 03:21 . 2008-03-29 03:21 <DIR> d-------- C:\Programme\PC Inspector File Recovery 2008-03-29 03:21 . 2002-02-18 19:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD 2008-03-11 23:27 . 2008-03-11 23:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI 2008-03-11 23:26 . 2008-03-11 23:26 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-03-11 23:21 . 2008-02-25 22:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-03-11 22:22 . 2007-12-04 16:44 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS 2008-03-10 00:57 . 2008-03-10 00:56 691,545 --a------ C:\WINDOWS\unins000.exe 2008-03-10 00:57 . 2008-03-10 00:57 2,553 --a------ C:\WINDOWS\unins000.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-04 12:34 --------- d-----w C:\Programme\a-squared Anti-Dialer 2008-04-02 12:16 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-04-02 12:15 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-03-29 17:45 1,146,232 ----a-w C:\WINDOWS\system32\aswBoot.exe 2008-03-29 17:35 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2008-03-29 17:29 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2008-03-29 17:27 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2008-03-29 17:26 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2008-03-29 17:23 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr 2008-03-29 01:21 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-29 01:06 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\ATI 2008-03-28 22:12 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\teamspeak2 2008-03-28 12:33 --------- d-----w C:\Programme\Winamp 2008-03-11 21:23 --------- d-----w C:\Programme\ATI Technologies 2008-03-09 23:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-03-09 23:03 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-03-05 07:29 --------- d-----w C:\Programme\Java 2008-03-03 03:12 --------- d-----w C:\Programme\Lavalys 2008-03-03 01:14 --------- d-----w C:\Programme\Driver Cleaner Pro 2008-02-29 00:24 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\SystemXXL 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys 2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-02-26 03:10 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag(2)(2).dll 2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx(2)(2).dll 2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll 2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag(2)(2).dll 2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx(2)(2).dll 2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag(2)(2).dll 2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-02-26 02:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2(2)(2).dll 2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag(2)(2).dll 2008-02-12 10:32 --------- d-----w C:\Programme\PartyGaming 2008-01-11 05:32 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2007-09-29 22:40 22,328 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\PnkBstrK.sys 2006-10-07 17:50 0 ----a-w C:\Dokumente und Einstellungen\****\Anwendungsdaten\wklnhst.dat . ((((((((((((((((((((((((((((( snapshot@2008-04-05_ 0.16.47,50 ))))))))))))))))))))))))))))))))))))))))) . + 2008-04-07 10:19:48 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_4e4.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}] 2007-12-31 18:58 806912 --a------ C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2007-12-31 18:58 806912] [HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll [2007-12-31 18:58 806912] [HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 21:55 68856] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488] "EA Core"="C:\Programme\Electronic Arts\EADM\Core.exe" [2007-12-04 06:57 2494464] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14:36 14854144 C:\WINDOWS\RTHDCPL.exe] "ntiMUI"="c:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 19:15 45056] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 06:00 208952] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 06:00 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 06:00 455168] "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 18:00 397312] "AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 01:49 88363 C:\WINDOWS\AGRSMMSG.exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-30 04:41 98304] "AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07 114688] "EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.exe" [2005-03-08 06:00 98304] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224] "a-squared"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952] "StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440] "a-squared Anti-Dialer"="C:\Programme\a-squared Anti-Dialer\a2adguard.exe" [2008-04-03 22:57 1335952] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.lhacm"= lhacm.acm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] --a------ 2005-06-07 00:46 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaSync] --a------ 2005-09-21 13:48 425984 C:\Programme\Acer\Acer eConsole\MediaSync.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2005-11-30 04:40 26112 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-11-02 21:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2007-02-09 16:00 25388584 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2007-10-10 07:28 36352 C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Acer Media Server"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\Electronic Arts\\Battlefield 2142 Server\\BF2142VoipServer_w32ded.exe"= "C:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "C:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-02-05 08:00] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programme\a-squared Anti-Dialer\a2service.exe" [2008-04-03 22:56] R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2007-11-11 12:29] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 int15.sys;int15.sys;C:\Acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 15:46] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [] *Newly Created Service* - INT15.SYS . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-07 13:57:37 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-07 13:57:57 ComboFix-quarantined-files.txt 2008-04-07 11:57:54 ComboFix2.txt 2008-04-04 22:16:57 23 Verzeichnis(se), 76,920,963,072 Bytes frei 25 Verzeichnis(se), 76,911,009,792 Bytes frei . 2008-03-29 01:11:25 --- E O F --- |
08.04.2008, 19:25 | #28 | |
Administrator > Competence Manager | Win32:Agent-UBX(Trj)Dateien Online überprüfen lassen:
Zitat:
Malwarebytes' Anti-Malware
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
08.04.2008, 19:45 | #29 |
| Win32:Agent-UBX(Trj) so erstmal das hier, malwarebytes läuft grad noch. Code:
ATTFilter Datei Burn4Free_Toolbar.dll empfangen 2008.04.08 20:36:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.9.0 2008.04.08 - AntiVir 7.6.0.81 2008.04.08 - Authentium 4.93.8 2008.04.08 - Avast 4.8.1169.0 2008.04.08 - AVG 7.5.0.516 2008.04.08 - BitDefender 7.2 2008.04.08 - CAT-QuickHeal 9.50 2008.04.08 - ClamAV 0.92.1 2008.04.08 - DrWeb 4.44.0.09170 2008.04.08 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5681 2008.04.08 - Ewido 4.0 2008.04.08 - F-Prot 4.4.2.54 2008.04.08 - F-Secure 6.70.13260.0 2008.04.08 - FileAdvisor 1 2008.04.08 - Fortinet 3.14.0.0 2008.04.08 - Ikarus T3.1.1.26.0 2008.04.08 - Kaspersky 7.0.0.125 2008.04.08 - McAfee 5269 2008.04.08 - Microsoft 1.3408 2008.04.06 - NOD32v2 3010 2008.04.08 - Norman 5.80.02 2008.04.08 - Panda 9.0.0.4 2008.04.07 Suspicious file Prevx1 V2 2008.04.08 - Rising 20.39.12.00 2008.04.08 - Sophos 4.28.0 2008.04.08 - Sunbelt 3.0.1032.0 2008.04.08 - Symantec 10 2008.04.08 - TheHacker 6.2.92.268 2008.04.08 - VBA32 3.12.6.4 2008.04.06 - VirusBuster 4.3.26:9 2008.04.07 - Webwasher-Gateway 6.6.2 2008.04.08 - weitere Informationen File size: 806912 bytes MD5...: 987112d7fb461d2ef4e6d4a58947ae71 SHA1..: 59ca49accc0f75caa295da20b5aa1d12a030b81b SHA256: 89cb93b8b698c2a359703dae695b386c35921088941048f0aee875efb36acf84 SHA512: 3c22e386efa781d44e60b0f4bca6a8e8792177584965e5c589c1f4a5acb76289 e3a37266eb99a59aed34eeaaa71ff423dd4c35724180c72f930e9fa6a7c0b7ec PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100551fb timedatestamp.....: 0x4769d33a (Thu Dec 20 02:28:10 2007) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x6d60a 0x6e000 6.67 48569f4b5f9fb31b7da05f464ed4a8d5 .rdata 0x6f000 0x1afe6 0x1b000 5.17 e7b43b6593a79bd8f238afb57eb02d93 .data 0x8a000 0x1c0c8 0x7000 4.84 f316e0b11606ee058207ac3ba80d8ad1 .SHARED 0xa7000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0xa8000 0x2679c 0x27000 7.81 0d9d98631958ac2facc53a257684e4f9 .reloc 0xcf000 0xbbaa 0xc000 5.87 a9aa1098ce9ee1e079c2cb4b404ad742 ( 13 imports ) > WININET.dll: InternetOpenUrlA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetOpenA, InternetCloseHandle, HttpQueryInfoA, InternetQueryDataAvailable, InternetReadFile, InternetCrackUrlA, InternetGetConnectedState, InternetCanonicalizeUrlA, InternetCreateUrlA > KERNEL32.dll: WaitForSingleObject, CreateProcessA, IsBadWritePtr, GetTickCount, MultiByteToWideChar, SizeofResource, LockResource, LoadResource, SetEnvironmentVariableA, SetEndOfFile, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetFilePointer, FlushFileBuffers, GetConsoleMode, GetConsoleCP, GetStringTypeW, GetStringTypeA, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, LCMapStringA, ExitProcess, HeapCreate, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStdHandle, IsValidCodePage, GetOEMCP, GetCPInfo, GetTimeZoneInformation, GetSystemTimeAsFileTime, VirtualQuery, GetSystemInfo, VirtualProtect, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, RtlUnwind, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, GetThreadLocale, GetLocaleInfoA, GetACP, ExpandEnvironmentStringsA, SetFileAttributesA, IsDBCSLeadByteEx, GetSystemDirectoryA, GetVolumeInformationA, CreateThread, GetExitCodeProcess, WriteFile, ResetEvent, GetFileSize, ReadFile, GetWindowsDirectoryA, GetFileAttributesA, CreateFileA, CreateDirectoryA, ReleaseMutex, GetVersionExA, FindResourceA, FindResourceExA, WideCharToMultiByte, EnterCriticalSection, LeaveCriticalSection, lstrlenA, FormatMessageA, GetModuleFileNameA, GetModuleHandleA, GetModuleHandleW, GetUserDefaultLangID, GetSystemDefaultLangID, Sleep, CreateMutexA, CloseHandle, CompareStringW, CompareStringA, InterlockedExchange, GlobalHandle, GlobalFree, GlobalLock, GlobalUnlock, MulDiv, lstrcmpA, GlobalAlloc, InterlockedCompareExchange, DisableThreadLibraryCalls, FreeLibrary, IsDBCSLeadByte, InterlockedDecrement, InterlockedIncrement, LoadLibraryExA, lstrcmpiA, DeleteCriticalSection, InitializeCriticalSection, LoadLibraryA, lstrlenW, GetCommandLineA, GetDateFormatA, GetTimeFormatA, CreateEventA, GetProcAddress, GetFileAttributesW, LocalAlloc, GetVersion, RaiseException, FlushInstructionCache, GetCurrentProcess, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, SetEvent, DeleteFileA, GetCurrentThreadId, OutputDebugStringA > USER32.dll: LoadMenuA, InsertMenuItemA, SetMenuItemInfoA, LoadImageA, MessageBoxA, GetWindowLongA, GetParent, GetDlgItem, SetWindowPos, MapWindowPoints, GetClientRect, UnregisterClassA, SetWindowPlacement, FindWindowExA, EnableMenuItem, CheckMenuItem, GetMenuItemInfoA, RemoveMenu, GetMenuItemCount, DestroyMenu, CreatePopupMenu, TrackPopupMenu, GetCursorPos, DrawTextA, DrawStateA, AnimateWindow, MonitorFromPoint, MonitorFromWindow, GetMonitorInfoA, GetAncestor, CopyIcon, DestroyIcon, OffsetRect, PostMessageA, RegisterWindowMessageA, CreateAcceleratorTableA, DestroyAcceleratorTable, BeginPaint, EndPaint, ReleaseCapture, SetCapture, CreateDialogParamA, InvalidateRgn, GetSysColor, SetWindowContextHelpId, MapDialogRect, EndDialog, GetDC, GetSystemMetrics, DialogBoxIndirectParamA, SetFocus, InvalidateRect, GetWindowTextLengthA, GetWindowTextA, GetComboBoxInfo, FillRect, IsChild, GetForegroundWindow, ShowWindow, CharNextA, SetWindowsHookExA, GetFocus, CallNextHookEx, GetClassNameA, UnhookWindowsHookEx, EndMenu, MoveWindow, GetKeyState, ReleaseDC, GetWindowDC, ScreenToClient, ClientToScreen, GetMessageA, IsDialogMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, SetActiveWindow, GetDesktopWindow, IsWindowEnabled, EnableWindow, SendMessageA, IsWindow, IsWindowVisible, CallWindowProcA, DefWindowProcA, CreateWindowExA, GetClassInfoExA, RegisterClassExA, DestroyWindow, LoadCursorA, KillTimer, SetTimer, SetWindowLongA, LoadStringA, SetWindowTextA, GetWindow, GetWindowRect, SystemParametersInfoA, GetWindowPlacement, IsIconic, DrawFrameControl, UpdateWindow, SetWindowRgn, IsRectEmpty, PtInRect, SetRectEmpty, CopyRect, InflateRect, DrawIconEx, SetCursor, GetCapture, UnionRect, DialogBoxParamA, RedrawWindow > GDI32.dll: LPtoDP, DPtoLP, StretchBlt, OffsetRgn, CombineRgn, CreateRoundRectRgn, CreatePolygonRgn, GetClipBox, CreateRectRgn, SetStretchBltMode, SetWindowOrgEx, FrameRgn, GetViewportOrgEx, SetViewportOrgEx, ExcludeClipRect, EqualRgn, GetTextExtentPoint32A, RestoreDC, SaveDC, Polygon, CreatePen, SetTextColor, ExtTextOutA, GetPixel, GetTextColor, CreateFontIndirectA, GetStockObject, GetObjectA, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, SetBrushOrgEx, SetBkMode, SetBkColor, SelectObject, DeleteObject, CreatePatternBrush, CreateSolidBrush, GetTextMetricsA, DeleteDC > ADVAPI32.dll: RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA, RegDeleteKeyA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegEnumKeyExA, RegEnumValueA, OpenProcessToken, GetTokenInformation, LookupAccountSidA, RegCloseKey > SHELL32.dll: SHGetSpecialFolderPathA, ShellExecuteA > ole32.dll: CLSIDFromProgID, CoTaskMemFree, ProgIDFromCLSID, StringFromCLSID, CoLoadLibrary, CoFreeUnusedLibraries, RegisterDragDrop, OleUninitialize, OleInitialize, ReleaseStgMedium, CreateStreamOnHGlobal, CLSIDFromString, OleLockRunning, CoGetClassObject, CoUninitialize, CoInitialize, OleDraw, RevokeDragDrop, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > SHLWAPI.dll: UrlUnescapeA, PathFileExistsA, StrStrIW, StrStrW, PathRemoveFileSpecA, PathRemoveBackslashA > COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, ImageList_Create, ImageList_GetIconSize, ImageList_SetBkColor, ImageList_Draw > MSIMG32.dll: TransparentBlt > snmpapi.dll: SnmpUtilOidNCmp, SnmpUtilOidCpy, SnmpUtilVarBindFree > VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Code:
ATTFilter Malwarebytes' Anti-Malware 1.11 Datenbank Version: 600 Scan Art: Komplett Scan (C:\|D:\|G:\|H:\|I:\|J:\|) Objekte gescannt: 122140 Scan Dauer: 26 minute(s), 2 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Geändert von Urmel (08.04.2008 um 20:04 Uhr) |
09.04.2008, 07:06 | #30 |
| Win32:Agent-UBX(Trj) moin, mir ist ein fehler unterlaufen, ich habe nochmal versucht combofix zu starten. also habe ich erstmal den ordner von combofix auf c gelöscht um kombofix erneut zu starten. hat nicht geklappt. darauf hin hab ich die erneut erschienen datei von combofix auf c gelöscht und weiter einträge von combofix per "suchfunktion" gesucht und gefunden. da habe ich aber nur die logs gelöscht. tja zu guter letzt hab ich dann CCleaner laufen lassen um fehler bereinigen zu lassen. pc neu gestartet und jetzt kommts, beim laden der programme die so auf dem desktop laufen (icq, avast usw.) hat spybot mir angezeigt das von avast und combofix eine datei gelöscht wurde und ob ich das erlauben will. leider hab ich das bestätigt. so nun fehlt unten rechts das symbol von avast in der taskleiste und bei jedem neustart des pcs wird der arbeitsplatz und platte c geöffnet. bitte mich nicht die datei von avast hab ich schon in hijacklog gefunden C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe gibts ne möglichkeit die wieder zu bekommen? gruß |
Themen zu Win32:Agent-UBX(Trj) |
add-on, adobe, antivirus, application, avast!, bho, control center, drivers, e-mail, einschränkungen, excel, explorer, firefox, firewall, generic host, generic host process, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mozilla firefox, realtek, shortcut, skype.exe, software, starten, symantec, systray, trojaner, trojaner gefunden, usb, virus, webcheck, windows, windows xp |