| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Spy.Agent.NJ entfernen.... bekomm nen anfall!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.10.2006, 10:29
| #1 |
| |  Spy.Agent.NJ entfernen.... bekomm nen anfall!! Moin Zusammen! Hab auf einem System den Spy.Agent.NJ gefunden mittels AntiVir Guard. Er verweist auf eine Datei namens "Maildll.dll" im verzeichnis lokaleeinstellungen/temp und diese kann nicht gelöscht werden ! Hab schon im Netz gesucht und alle Reg-Einträge die da so genannt werden geprüft, aber das Teil erscheint immer wieder! Kennt dieses Mistding einer und kann ir weiterhelfen??? ggf. welcher Task auf die DLL zugreift und wo sich in der reg der eintrag zum laden des PRG wiederfindet??? Im Pfad HCLM/Software/Microdoof/windoof/curentversion/run liegt nix mehr was ich nicht kennen würde also das schließe ichs chon mal aus! Hab auch schon mal nen Hiijack gemacht: Logfile of HijackThis v1.99.1 Scan saved at 11:20:04, on 03.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wbsecsvc.exe C:\WINDOWS\system32\CAPM1RSK.EXE C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE C:\Programme\winbond\w89c33\wwu.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\ICH\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {E36AC617-B7C3-9BCE-3B19-BB31F065B828} - abrek.dll (file missing) O1 - Hosts: localhost 127.0.0.1 O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - Global Startup: Statusfenster für Canon PC1200 iC D600 iR1200G.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE O4 - Global Startup: WWU.lnk = C:\Programme\winbond\w89c33\wwu.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O14 - IERESET.INF: START_PAGE_URL=http://***.medion.com O16 - DPF: {042EC86A-2388-0F77-49DE-70F4577140EA} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {0A7FF597-B8A5-7E50-72F3-1741486C278F} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {0F1FBCE5-BEDE-7D84-765C-4CF9063228AC} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {10B9E010-66DB-3EBC-7121-587501C02200} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {19336F96-10F1-4A31-8799-26717534351E} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {26819511-C073-46A9-DA3E-39A65CF51D55} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {31FC35C8-2049-333A-BDD7-109A0D0AA280} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {4E76F3F6-8BF3-15C3-5E8F-13691D9FC09A} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {4EFD2E61-2A43-7DFD-1C90-3CAB1F2620D4} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {50A22F4E-905B-151A-BE39-488D52274D1F} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {516EF945-2809-0902-E513-356377DCED50} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127287719000 O16 - DPF: {6681516F-185A-7B87-6BE9-1C9A3FBBF64D} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {7A6E5BCC-5747-7FCF-97F7-77EB3B50A4BB} - http://85.255.114.166/1/rdgFR2535.exe O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://***.nutzwerk.de/control/NutzNavi.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{35A5336A-A9F6-4D1D-9505-09BC1624C202}: NameServer = 85.255.116.85,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\..\{3A8CD031-5A3C-4E51-A70B-F1869E175D82}: NameServer = 85.255.116.85,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\..\{3BA72B20-03A1-48EC-8573-4048E64FD18C}: NameServer = 85.255.116.85,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\..\{AA6A5C77-81FB-44E3-93BD-3793CD78D3DD}: NameServer = 85.255.116.85,85.255.112.147 O17 - HKLM\System\CS1\Services\Tcpip\..\{35A5336A-A9F6-4D1D-9505-09BC1624C202}: NameServer = 85.255.116.85,85.255.112.147 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: polymorphreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file) O21 - SSODL: DCOM Server 2235 - {2C1CD3D7-86AC-4068-93BC-A02304BB2235} - C:\WINDOWS\system32\2235_32.dll O21 - SSODL: CDRecorder019 - {A3BC5E20-0235-1ABF-9CE1-00AA00512019} - C:\WINDOWS\system32\bcukpp32.dll O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe Wäre klasse wenn mir einer helfen könnte....das Ding nervt gewaltig! LG Sascha |
|
03.10.2006, 10:40
| #2 | ||
 | Spy.Agent.NJ entfernen.... bekomm nen anfall!! Hallo Sascha,
__________________Zitat:
Glaube, das ist Dein kleinstes Problem. Zitat:
Viele unbekannte und suspekte Prozesse/ Dateien in Deinem LOG! Lasse mal folgende Dateien bei Jotti oder Virustotal auswerten. Poste das gesamte Ergebnis, auch wenn nichts gefunden wird. Einschließlich der dort angegebenen Größe. Link in meiner SIG! C:\WINDOWS\system32\bcukpp32.dll C:\WINDOWS\system32\2235_32.dll C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll C:\Programme\winbond\w89c33\wwu.exe C:\WINDOWS\system32\CAPM1RSK.EXE Gruß Mellosun
__________________ |
|
03.10.2006, 12:10
| #3 |
| | Spy.Agent.NJ entfernen.... bekomm nen anfall!! wir gemacht....dauert einen augenblick"!
__________________so hier die erste.... welchem der AntiVirs darf ich denn jetzt wohl glauben??? Datei: 2235_32.dll Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir Heuristic/Crypted gefunden (mögliche Variante) ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Generic2.AIO gefunden BitDefender Trojan.Agent.VD gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Spambot gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/Agent.PK!tr gefunden Kaspersky Anti-Virus Trojan.Win32.Agent.pk gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Geändert von sb1002 (03.10.2006 um 12:33 Uhr) |
|
03.10.2006, 12:58
| #4 | |
| | Spy.Agent.NJ entfernen.... bekomm nen anfall!!Zitat:
NOCH WAS.... die WWU.exe ist ok... Winbond Wireless Utility... is für das wlan da..!!  task gekillt und shcon is mein netz weg!!  dann die CAPM1RSK ist von Canon der Drucker-Monitor! |
|
03.10.2006, 14:08
| #5 |
| | Spy.Agent.NJ entfernen.... bekomm nen anfall!! Wo bleiben die Ergebnisse der Restlichen Dateien? |
|
| Themen zu Spy.Agent.NJ entfernen.... bekomm nen anfall!! |
| antivir, audio, avira, button, canon, datei, desktop, drivers, excel, explorer, gelöscht, hijack, hijackthis, ics, immer wieder, internet, internet explorer, java, kann nicht gelöscht werden, messenger, microsoft, office, programme, shortcut, sp2, start, system, system32, träge, urlsearchhook, windows, windows xp |
Linear-Darstellung
