| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.07.2007, 12:05
| #1 |
| |  Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! Hallo! Ich habe auf meinen LapTop folgende Trojaner gefunden: TR/Spy.VBStat.B.1 und TR/Agent.aoy.1. Mit Antivir-Scan lassen sie sich nit aufspüren. Ich bekomme ledeglich des öfteren die Meldung, dass Antivir Guard diese gefunden hat. Nun würde ich sie gerne wieder los werden. Habe ComboFix und HijackThis schon durchlaufen lassen und hier die Ergebnisse: "Jani" - 2007-07-03 12:42:41 - ComboFix 07-07-03.8 (((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\c5q1.dll C:\WINDOWS\system32\cr3m.dll C:\WINDOWS\system32\fcvnanib.dll C:\WINDOWS\system32\fcyay.dll C:\WINDOWS\system32\jrgijdjn.dll C:\WINDOWS\system32\khhgg.dll C:\WINDOWS\system32\qhyoxqrn.dll C:\WINDOWS\system32\qmxclyco.dll C:\WINDOWS\system32\rjtbjyxi.dll C:\WINDOWS\system32\rqqqtcpf.dll C:\WINDOWS\system32\rxyskhyy.dll C:\WINDOWS\system32\sujfeeyk.dll C:\WINDOWS\system32\xxeewrhq.dll C:\WINDOWS\system32\binanvcf.ini C:\WINDOWS\system32\yaycf.ini C:\WINDOWS\system32\njdjigrj.ini C:\WINDOWS\system32\gghhk.ini C:\WINDOWS\system32\nrqxoyhq.ini C:\WINDOWS\system32\ocylcxmq.ini C:\WINDOWS\system32\ixyjbtjr.ini C:\WINDOWS\system32\fpctqqqr.ini C:\WINDOWS\system32\yyhksyxr.ini C:\WINDOWS\system32\kyeefjus.ini C:\WINDOWS\system32\vvutv.bak1 C:\WINDOWS\system32\vvutv.bak2 C:\WINDOWS\system32\vvutv.ini C:\WINDOWS\system32\vvutv.ini2 C:\WINDOWS\system32\vvutv.tmp C:\WINDOWS\system32\vvutv.bak1 C:\WINDOWS\system32\vvutv.bak2 C:\WINDOWS\system32\vvutv.ini C:\WINDOWS\system32\vvutv.ini2 C:\WINDOWS\system32\vvutv.tmp C:\WINDOWS\system32\vvutv.bak1 C:\WINDOWS\system32\vvutv.bak2 C:\WINDOWS\system32\vvutv.ini C:\WINDOWS\system32\vvutv.ini2 C:\WINDOWS\system32\vvutv.tmp C:\WINDOWS\system32\vtuvv.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\DOWNLO~1\UWA6PU_0001_N91M2107NetInstaller.exe C:\WINDOWS\DOWNLO~1\UWA7P_0001_N91M0809NetInstaller.exe C:\WINDOWS\system32\boa.dat C:\WINDOWS\system32\cookie.dat C:\WINDOWS\system32\cr3m.dll C:\WINDOWS\system32\iepref32.dll C:\WINDOWS\system32\ocxapi.dll C:\WINDOWS\system32\ocxloader.exe C:\WINDOWS\system32\qmopt.dll ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_IPRIP -------\LEGACY_LANMANDRV -------\Iprip -------\lanmandrv -------\nm ((((((((((((((((((((((((( Files Created from 2007-06-03 to 2007-07-03 ))))))))))))))))))))))))))))))) 2007-07-03 12:31 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-02 14:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2007-06-15 14:37 87,248 --a------ C:\DOKUME~1\Jani\ANWEND~1\winantiviruspro2007freeinstall[1].exe 2007-06-14 21:54 87,040 --a------ C:\WINDOWS\system32\evntwin.exe 2007-06-14 21:54 8,192 --a------ C:\WINDOWS\system32\snmptrap.exe 2007-06-14 21:54 5,120 --a------ C:\WINDOWS\system32\snmpmib.dll 2007-06-14 21:54 35,328 --a------ C:\WINDOWS\system32\hostmib.dll 2007-06-14 21:54 29,696 --a------ C:\WINDOWS\system32\snmp.exe 2007-06-14 21:54 29,184 --a------ C:\WINDOWS\system32\lmmib2.dll 2007-06-14 21:54 24,576 --a------ C:\WINDOWS\system32\evntcmd.exe 2007-06-14 21:54 21,504 --a------ C:\WINDOWS\system32\lpdsvc.dll 2007-06-14 21:54 18,432 --a------ C:\WINDOWS\system32\lprmon.dll 2007-06-14 21:54 102,400 --a------ C:\WINDOWS\system32\evntagnt.dll 2007-06-14 21:51 34,816 --a------ C:\WINDOWS\system32\iprip.dll 2007-06-14 21:51 19,456 --a------ C:\WINDOWS\system32\simptcp.dll 2007-06-14 20:20 1 --a------ C:\WINDOWS\system32\ps.dat 2007-06-14 13:51 <DIR> d-------- C:\DOKUME~1\Jani\ANWEND~1\Spamihilator 2007-06-12 12:56 1,208 --a------ C:\WINDOWS\mozver.dat 2007-06-11 13:20 <DIR> d-------- C:\DOKUME~1\Jani\ANWEND~1\Talkback 2007-06-11 13:16 434 --a------ C:\WINDOWS\system32\iebdfex.dll 2007-06-11 11:58 <DIR> d-------- C:\!KillBox 2007-06-11 11:40 89,088 --a------ C:\WINDOWS\system32\atl71.dll 2007-06-11 11:40 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-06-11 11:40 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2007-06-11 11:35 91,856 --a------ C:\DOKUME~1\Jani\ANWEND~1\winantiviruspro2006freeinstall_de[1].exe 2007-06-10 00:04 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT 2007-06-10 00:04 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten 2007-06-10 00:04 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen 2007-06-10 00:04 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen 2007-06-10 00:04 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung 2007-06-10 00:04 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen 2007-06-10 00:04 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung 2007-06-10 00:04 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten 2007-06-09 20:18 73 --a------ C:\WINDOWS\system32\iecc.dll 2007-06-09 20:18 4 --a------ C:\WINDOWS\system32\iebudata.dll 2007-06-09 20:18 302 --a------ C:\WINDOWS\system32\iehrdata.dll 2007-06-09 20:18 117 --a------ C:\WINDOWS\system32\iesc.dll 2007-06-09 20:18 105 --a------ C:\WINDOWS\system32\qshl.dll 2007-06-09 20:08 47,849 --a------ C:\WINDOWS\system32\cjpeg.exe 2007-06-09 19:51 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic 2007-06-09 19:38 <DIR> dr------- C:\DOKUME~1\LOCALS~1\Favoriten 2007-06-09 19:38 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\ICQ Toolbar 2007-06-09 19:35 <DIR> d-------- C:\WINDOWS\sdrive 2007-06-09 19:16 1,047,552 --a------ C:\WINDOWS\system32\mfc71u.dll 2007-06-09 18:48 45,056 --a------ C:\WINDOWS\wsutil.exe 2007-06-09 18:48 119,923 --a------ C:\WINDOWS\Versatel_UTIL.exe 2007-06-09 18:48 <DIR> d-------- C:\Programme\Versatel 2007-06-09 18:46 53,317 --a------ C:\WINDOWS\wwsop34i.dll 2007-06-09 18:46 53,317 --a------ C:\WINDOWS\WWREG34I.DLL 2007-06-09 18:46 49,221 --a------ C:\WINDOWS\wwras34i.dll 2007-06-09 18:46 359,120 --a------ C:\WINDOWS\WBDDB34I.DLL 2007-06-09 18:46 25,984 --a------ C:\WINDOWS\WILX34I.DLL 2007-06-09 18:46 21,776 --a------ C:\WINDOWS\SHFOLDER.DLL 2007-06-09 18:46 172,032 --a------ C:\WINDOWS\WsBtn.dll 2007-06-09 18:46 102,469 --a------ C:\WINDOWS\wwctl34i.dll (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-14 19:54:09 48,354 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-06-14 19:54:09 316,838 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-06-09 17:00:31 -------- d-----w C:\Programme\PcProgramme ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D}] 2006-10-10 11:18 701952 --a------ D:\ICQ\ICQToolbar\toolbaru.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2001-04-16 16:39 37808 --a------ d:\Office\AcrobatReader5.1\Reader\ActiveX\AcroIEHelper.ocx [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2005-11-10 13:22 184423 --a------ C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] "Googlefilter"="D:\GoogleFilter\Core\Googlefilter.exe" [2005-01-02 21:09] "UnlockerAssistant"="D:\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"=$$ "$$"=$$ "Googlefilter"=D:\GoogleFilter\Core\Googlefilter.exe /run [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MaxRecentDocs"=6 (0x6) "ClearRecentDocsOnExit"=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrqpon] rqrqpon.dll HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs UxTuneUp HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E} rundll32 iesetup.dll,IEAccessUserInst ************************************************************************** catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-03 12:45:50 Windows 5.1.2600 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... C:\WINDOWS\Temp scan completed successfully hidden files: 1 ************************************************************************** Completion time: 2007-07-03 12:46:45 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-07-03 12:46 --- E O F --- und Logfile of HijackThis v1.99.1 Scan saved at 12:49:02, on 03.07.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Bluetooth\BTNtService.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\GoogleFilter\Core\Googlefilter.exe D:\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\notepad.exe D:\Office\OfficeXP\Office10\WINWORD.EXE D:\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Versatel R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Office\AcrobatReader5.1\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Googlefilter] D:\GoogleFilter\Core\Googlefilter.exe /run O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Unlocker\UnlockerAssistant.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\OfficeXP\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8FD39B40-00E9-49F3-A2B4-35C700BA2AB8} - C:\Programme\PcProgramme\Internet\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8FD39B40-00E9-49F3-A2B4-35C700BA2AB8} - C:\Programme\PcProgramme\Internet\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{42D8FA0D-8C83-418C-A040-383562953D1B}: NameServer = 192.168.2.3 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: rqrqpon - rqrqpon.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Bluetooth\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - D:\VoltiFix\InterBase6\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - D:\VoltiFix\InterBase6\bin\ibserver.exe O23 - Service: Remote Header Manager - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing) O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) Hoffe hier kann mir Jemand helfen! Danke schonmal im Vorraus! BYE *Jani* |
|
03.07.2007, 13:00
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! Platform: Windows XP (WinNT 5.01.2600)
__________________MSIE: Internet Explorer v6.00 (6.00.2600.0000) Ist nicht ein Ernst oder?  Da fehlen ja jegliche Updates!Das Bereinigen wird auf dieser ungepatchten Kiste am allerwenigsten Sinn machen, daher solltest du das System neu aufsetzen und erst wieder ins Internet, wenn das SP2 und alle Folgeupdates installiert sind.
__________________ |
|
03.07.2007, 13:04
| #3 | ||
| Gast |  Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! Hallo,
__________________Also du solltest mal diese Einträge fixen: Zitat:
Zitat:
Und allgemein lass, wenn du das gemacht hast deinen pc neustarten im abgesicherten Modus (systemwiederherstellung deaktivieren) um einen Antiviren-scan zu machen, dannach wenn Funde waren, löschen und dann nochmal neustart (Systemwiederherstellung wieder aktivieren) und poste nochmal ein HJT-LOG und schau ob dir Avira diese Meldung nochmal anzeigt... |
|
03.07.2007, 13:10
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! @terayaki: Das Fixen von Einträgen und Löschen von Schädlingsdateien bringt an diesem System nichts mehr, es ist völlig im Eimer, da u.a. auch mangelhaft gewartet!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
03.07.2007, 13:10
| #5 |
| Gast | Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! Ups Das stimmt allerdings das habe ich irgendwie übersehen mit den updates, dass ist natürlich n bisschen, was heißt n bisschen, sogar seeehr auffällig, mann und mir fällt das nicht auf |
|
04.07.2007, 10:17
| #6 |
| | Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! Na gut!Danke aber für eure Ratschläge... *Jana* |
|
| Themen zu Werde TR/Spy.VBStat.B.1 und TR/Agent.aoy.1 nicht los! |
| .dll, antivir guard, avg, avgnt, avgnt.exe, avira, bho, browser, combofix, components, ctfmon.exe, excel, explorer, helfen, helper, hijack, hijackthis, icq, internet, internet explorer, log, microsoft, programme, rojaner gefunden, rootkit, software, svchost, system, trojaner, trojaner gefunden, urlsearchhook, windows, windows xp |
Linear-Darstellung
