|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.EMWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.06.2005, 21:39 | #1 |
| TR/Agent.EM Hallo, ich habe Probleme mit dem trojanischen Pferd TR/Agent.EM. Kann mir jemand sagen, wie ich das wieder los werde? Ich bin höchst verzweifelt. Besten Dank im Voraus! Thorsten99 C:\WINDOWS\SYSTEM32\APPOZ32.EXE Ist das Trojanische Pferd TR/Agent.EM |
15.06.2005, 21:40 | #2 |
| TR/Agent.EM @Thorsten99
__________________poste bitte ein HJT logfile http://www.trojaner-board.de/showthread.php?t=17493 chaosman
__________________ |
15.06.2005, 21:43 | #3 |
| TR/Agent.EM Hallo,
__________________hier das logfile! Ich bin leider nicht ALLZU bewandert mit dem Innenleben eines PC, darum schonmal herzliches Dankeschön!! Logfile of HijackThis v1.99.1 Scan saved at 22:42:06, on 15.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\pctspk.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\d3vj32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Schmaili 5.1\schmaili.exe C:\Programme\Skype\Phone\Skype.exe c:\programme\freenetiphone\voipclient.exe C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Programme\Siemens\Gigaset WLAN Adapter\wlm.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\DOKUME~1\Thorsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis-2.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rzsag.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {DFE091D2-CAB9-B062-4548-24A5F62AEB7A} - C:\WINDOWS\atloz32.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [d3vj32.exe] C:\WINDOWS\d3vj32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Schmaili] C:\Programme\Schmaili 5.1\schmaili.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [freenetiPhone] c:\programme\freenetiphone\iPhoneStarter.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{46E36249-2F5F-435D-BADB-CE81840F7B28}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDDEEBC-DD5A-48A1-9ED4-73C3D03AF93C}: NameServer = 217.237.151.161 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
15.06.2005, 21:49 | #4 |
| TR/Agent.EM @Thorsten99 lasse mal den cleaner laufen http://www.trojaner-info.de/anleitun...out_blank.html http://www.derbilk.de/404.html scanne danach dein system mit escan http://www.trojaner-board.de/showthread.php?t=17492 chaosman
__________________ Bonus vir semper tiro |
15.06.2005, 21:50 | #5 |
| TR/Agent.EM OK, ich probiers mal! Hoffe es klappt! Sag dann bescheid! Danke!! |
15.06.2005, 22:00 | #6 |
| TR/Agent.EM Jetzt zeigts folgenden Text an, ohne dass der PC runterfährt. Was mach ich? (15.6.05 22:58:29) SPSeHjFix started v1.1.2 (15.6.05 22:58:29) OS: WinXP Service Pack 2 (5.1.2600) (15.6.05 22:58:29) Language: deutsch (15.6.05 22:58:29) Win-Path: C:\WINDOWS (15.6.05 22:58:29) System-Path: C:\WINDOWS\system32 (15.6.05 22:58:29) Temp-Path: C:\DOKUME~1\Thorsten\LOKALE~1\Temp\ (15.6.05 22:58:30) Disinfection started (15.6.05 22:58:30) Bad-Dll(IEP): c:\windows\rzsag.dll (15.6.05 22:58:30) UBF: 8 - UBB: 1 - UBR: 15 (15.6.05 22:58:30) UBF: 8 - UBB: 1 - UBR: 15 (15.6.05 22:58:30) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\rzsag.dll/sp.html#12047 deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\rzsag.dll/sp.html#12047 deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\rzsag.dll/sp.html#12047 deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\windows\rzsag.dll/sp.html#12047 deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\windows\rzsag.dll/sp.html#12047 deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\windows\rzsag.dll/sp.html#12047 deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchA |
Themen zu TR/Agent.EM |
pferd, probleme, system, system32, troja, trojanische, trojanische pferd, trojanischen, verzweifel, windows |