Hi
Hab schon mal gepostet aber kein Tipp hat geholfen
So nochmal die Daten

Als lokaler User ohne Adminrechte hab ich einen Virus der
1.) Jeden Scanner blockt
2.) im lokalen Userverzeichnis liegt
3.) das Verzeichnis von außen unscanbar macht
4.) man kann auch nicht als admin oder im abgesicherten modus auf das verzeichnis zugreifen
5.) selbst ein unbenanntes HijackThis startet nicht
6.) als anderer User funktioniert jeder Virus scanner
7.) bitdefender dürfte aber das Problem eingrenzen und so den Schaden begrenzen
8.) Bitdefender 7.5 läuft zwar aber als lokaler User kann ich den Scanner nicht starten, wenn ich das verdächtige File anklicke warnt bitdefender das dieses mit dem Trojan downloader agent 1f ist

Wie bekomm ich diesen Teufel wieder los

Sascha

Zitat:

Zitat von docsascha

4.) man kann auch nicht als admin oder im abgesicherten modus auf das verzeichnis zugreifen
5.) selbst ein unbenanntes HijackThis startet nicht
Sascha

kannst du hijack auch nicht als admin ausführen und das logfile posten?

Hi
Poste das Ergebnis gleich, aber da man auch im abgesicherten Modus nicht in das infizierte Verzeichnis kommt wird die Aussagekraft eher Minimal sein


Sascha

Hi

Hier ist der meiner Ansicht nach nicht aussagekräftige Hijeckthis log
Dr.com ist Hijeckthis.exe das ich umbenannt habe, da das Virus keinen Scanner lufen lässt leider hats nicht geklappt.

Logfile of HijackThis v1.99.0
Scan saved at 09:05:49, on 08.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\dr.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gericom.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Cyberlink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: BitDefender Virus Shield - Unknown - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: VNC Server - RealVNC Ltd. - C:\Programme\RealVNC\WinVNC\WinVNC.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

sascha

Geht denn E-Scan im abgesicherten Modus? Ich kann mir eigentlich nicht vorstellen, dass ein Trojan-Downloader derartige Effekte hervorruft, also entweder es ist da noch ein anderer Schädling da oder das Problem liegt noch einmal ganz woanders.

Hi

Mit Escan etwa das gleiche Ergebnis wie mit Hijeckthis
Da er nicht im Verzeichnis zugreifen kann wo das Problem liegt, findet es auch außer realvnc nichts gefährliches.
Genauso wie Bitdefender, stinger, und all die anderen.

Sascha