| |
| |||||||
Log-Analyse und Auswertung: PestPatrol entdeckt TrojanDownloader.Win32.Agent.bfWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.01.2005, 06:59
| #1 |
| |  PestPatrol entdeckt TrojanDownloader.Win32.Agent.bf Das o.g. Programm entdeckt ein Werbetrojaner. Das Problem ist, wenn diese Datei (C:\Programme\AOL 8.0\comm.dll) unter Quarantäne gesetzt wird, läuft AOL nicht mehr. Dieser Trojaner ist auch erst auf dem Rechner als ich das kostenlose Email-Programm IncrediMail und das Anwenderprogramm Ashampoo WinOptimizer installiert habe. Hier die Daten von PestPatrol: Pest: TrojanDownloader.Win32.Agent.bf Pest-Info: Kategorie: Downloader Beschreibung: See here Ausgabe-Datum: 8/20/2004 0:00:00 Datei-Info: In Datei: C\Programme\AOL 8.0\comm.dll PVT: 308718868 MD5: dd84f4395829eb59773df76aee5cc12d Datum: 04.23.2003 18:04:40 Firmenname: America Online, Inc. Datei-Beschreibung: Comm Datei-Version:: 8.00.000 Interner Name: COMM Legal Copyright: AOL Datei Analyse: Suchen mit MD5 (empfohlen) oder PVT. Aktion: Sicherheit: Bestätigt Bedrohung: Verpflichtung Risiko: Moderat - Diese Datei kann ausgeführt werden! Vorschlag: Löschen oder unter Quarantäne stellen Mein PC wurde im abgesicherten Modus mit weiteren Programmen getestet: Ad-aware 6.0 Spybot-Search & Destroy escan Diese Programme haben keine verdächtigen Dateien gefunden. Nur PestPatrol. Nach Angaben der englischen Seite von PestPatrol, hat sich Win 32.Agent bf in der Registrierung festgesetzt. Nur mit meinem "Schul-Englisch habe ich Angst in der Registrierung etwas zu löschen was ich nachher bereue. Ist es vielleicht auch möglich, dass es eine Fehlmeldung ist? Ich vermute, diese Meldung steht im Zusammenhang mit dem Email-Programm IncrediMail. Denn in diesem Programm erhalte ich offline Werbung eingespielt, um die Vollversion zu kaufen. Meine PC-Zeitschrift PC-GO meint nun, ich sollte den PC "Platt machen" und Win neu installieren. Die Firma Symantec (Norton) konnte mir nun erst gar nicht weiterhelfen. Wenn gewünscht sende ich das Logfile von HijackThis v1.99.0 Gruß Ralf Geändert von windelsylvi (28.01.2005 um 15:44 Uhr) |
|
28.01.2005, 16:33
| #2 |
  | PestPatrol entdeckt TrojanDownloader.Win32.Agent.bf Dann mach das mal mit dem Log.
__________________
__________________ |
|
28.01.2005, 19:07
| #3 | |
| | PestPatrol entdeckt TrojanDownloader.Win32.Agent.bfZitat:
Danke, dass Du geantwortet hast.  Logfile of HijackThis v1.99.0 Scan saved at 20:24:35, on 27.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe F:\Anwendungen\Spionage-Tools\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [KeyPatrol] C:\Programme\PestPatrol\KeyPatrol.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [IncrediMail] E:\Software\INCRED~1\bin\IncMail.exe /c O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\Software\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
|
28.01.2005, 19:09
| #4 |
 | PestPatrol entdeckt TrojanDownloader.Win32.Agent.bf Also ich seh in deinem Log nix auffälliges muss ich sagen,Incredimail solltest du besser nicht nutzen,steig auf eine Alternative um wie Thunderbird! Hast Du DSL? Mach auch noch einen escan,entsprechendes findest du über die Suche hier im Board! |
|
28.01.2005, 19:20
| #5 | |
| | PestPatrol entdeckt TrojanDownloader.Win32.Agent.bfZitat:
DSL ist nicht vorhanden. escan wurde bereits im abgesicherten Modus durchgeführt. Fehlanzeige. Schade wegen Incredimail, ist kein schlechtes Email-Programm. Aber wenn es zu unsicher ist, werde ich es eben entfernen. Also ich sollte den PC nicht "platt machen", wie mir PC-Go mitteilte? |
|
28.01.2005, 19:28
| #6 |
| | PestPatrol entdeckt TrojanDownloader.Win32.Agent.bf Musst ihn nicht plattmachen. Was nicht schaden könnte wäre das Service Pack 2 draufzuspielen. Da du kein DSL hast würde ich dir aber eher empfehlen, dir das von einem bekannten zu besorgen.
__________________ --> PestPatrol entdeckt TrojanDownloader.Win32.Agent.bf |
|
28.01.2005, 19:39
| #7 | |
| | PestPatrol entdeckt TrojanDownloader.Win32.Agent.bfZitat:
Zum Glück habe ich SP 2 auf einer "CD aus Rom". Dann können wir mein Problem, was keines war, abschließen. SUPER Forum, war richtig toll. :aplaus: Ralf |
|
| Themen zu PestPatrol entdeckt TrojanDownloader.Win32.Agent.bf |
| abgesicherten, abgesicherten modus, ad-aware, datei, dateien, hijack, hijackthis, kostenlose, logfile, löschen, moderat, neu, norton, offline, online, optimizer, pestpatrol, problem, programm, programme, quara, quarantäne, rechner, seite, sicherheit, suche, symantec, werbung |
Linear-Darstellung
