|
Plagegeister aller Art und deren Bekämpfung: TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.01.2008, 16:58 | #1 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Hallo, ich hab bei den letzten scans die beiden oben genannten viren gefunden und hab auch einiges hier ausm board versucht z.b. vundofix, da die viren unter anderem in den dateien awttqon.dll und vtsqn.dll auftauchten. vundofix konnte alle sachen löschen bis auf awttqon.dll. hab danach noch ma antivir durchlaufen lassen der hat aber nichts mehr gefunden und in den backup ordner von vundofix steht die awttqon.dll auch drin... Nun frage ich mich ob der virus entgültig weg ist oder sich doch noch iwo versteckt, da im security task manager immer noch die prozesse angezeigt und als 92% gefährlich ausgewiesen werden... Außerdem kam grad noch eine Meldung von Antivir, dasser schon wieder TR/Drop.Agent.dgo.21 (21 ist neu) in der datei vtsqn.dll gefunden hat... was kann ich tun? Mein Hijackthis-log: Logfile of HijackThis v1.99.1 Scan saved at 16:52:42, on 06.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\CPUCooL\CooLSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\ctfmon .exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\programme\Last.fm\LastFMHelper.exe C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\programme\Security Task Manager\TaskMan.exe C:\Documents and Settings\***\Desktop\ABC.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005 F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll O2 - BHO: (no name) - {F0F74555-5C19-4591-9716-CC967C88ED3D} - C:\WINDOWS\system32\vtsqn.dll O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
06.01.2008, 17:06 | #2 | |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21Hallo L3g3nD. Arbeite zunächst das hier ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) Gruß Sunny |
06.01.2008, 17:29 | #3 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 das is das ergebnis von virustotal aber kp wo der HASH Steht und die datei vtsqn.exe habe ich nur nur die vtsqn.dll die habe ich hochgeladen anstatt der exe...:
__________________Datei vtsqn.dll empfangen 2008.01.06 17:20:48 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576 AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.05 - Avast 4.7.1098.0 2008.01.06 Win32:TratBHO AVG 7.5.0.516 2008.01.06 Generic9.AKAR BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus) ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851 DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP Norman 5.80.02 2008.01.04 Vundo.AL Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde Prevx1 V2 2008.01.06 Trojan.Vundo Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg Sophos 4.24.0 2008.01.06 W32/VirtInf-B Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 Trojan.Vundo TheHacker 6.2.9.181 2008.01.05 - VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2008.01.06 - weitere Informationen File size: 344576 bytes MD5: 0466723e693c1f8ec118e13ff1bc3498 SHA1: cdb5d62830edef3728a06f3d9606dc082467f212 PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7 Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.5.11 2008.01.05 Win-AppCare/Virtumonde.344576 AntiVir 7.6.0.46 2008.01.06 - Authentium 4.93.8 2008.01.05 - Avast 4.7.1098.0 2008.01.06 Win32:TratBHO AVG 7.5.0.516 2008.01.06 Generic9.AKAR BitDefender 7.2 2008.01.06 Trojan.Vundo.DUH CAT-QuickHeal 9.00 2008.01.05 AdWare.Virtumonde.dih (Not a Virus) ClamAV 0.91.2 2008.01.06 Trojan.Vundo-851 DrWeb 4.44.0.09170 2008.01.06 - eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5432 2008.01.04 Win32/Vundo.JD Ewido 4.0 2008.01.06 - FileAdvisor 1 2008.01.06 - Fortinet 3.14.0.0 2008.01.06 - F-Prot 4.4.2.54 2008.01.05 W32/Virtumonde.G.gen!Eldorado F-Secure 6.70.13030.0 2008.01.05 - Ikarus T3.1.1.15 2008.01.06 Trojan.Vundo.DUH Kaspersky 7.0.0.125 2008.01.06 not-a-virus:AdWare.Win32.Virtumonde.dih McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.06 Trojan:Win32/Vundo.gen!A NOD32v2 2767 2008.01.06 Win32/Adware.Virtumonde.FP Norman 5.80.02 2008.01.04 Vundo.AL Panda 9.0.0.4 2008.01.06 Spyware/Virtumonde Prevx1 V2 2008.01.06 Trojan.Vundo Rising 20.25.62.00 2008.01.06 Trojan.Win32.Undef.awg Sophos 4.24.0 2008.01.06 W32/VirtInf-B Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.06 Trojan.Vundo TheHacker 6.2.9.181 2008.01.05 - VBA32 3.12.2.5 2008.01.06 AdWare.Win32.Virtumonde.dih VirusBuster 4.3.26:9 2008.01.06 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2008.01.06 - weitere Informationen File size: 344576 bytes MD5: 0466723e693c1f8ec118e13ff1bc3498 SHA1: cdb5d62830edef3728a06f3d9606dc082467f212 PEiD: - Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39460568004E1328421805B09B7DCF007FED16C7 hyjackthis und vundofix hatte ich ja wie bereits geschrieben schon vorher durchgeführt gehabt, soll ich das noch ma machen? |
06.01.2008, 17:32 | #4 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Nein, poste nun noch mal ein Hijacklog, ich muss sehen was vundofix alles gelöscht hat, dann geht es weiter. |
06.01.2008, 17:55 | #5 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 awttqon.dll.bat,fccyaxw.dll.bat,nqstv.ini2.bad,nqstv.ini.bad,vtsqn.dll.bad stand im vundofix backups ordner ich hab jetzt grad noch ma durchlaufen lassen und er fand wieder die gleichen dateien... so und dann noch mehrer komische sachen als ich auf remove vundo geklickt hab kam error pfad irgendne zahl net gefunden und dann konnte er die dateien net löschen wollte neustarten und dann erneut versuchen hab ich auch gemacht und dann kam wieder das vundofix fenster aber keine dateien zum löschen mehr drin gewesen... so dann hat sich vundofix geschlossen und antivir hat sich gemeldet dasses nen trojaner inner vtsqn.exe gefunden hab, ich bin auf delete gegangen aber dann stand da das diese datei nicht gefunden werden konnte?!? iwas läuft da ziemlich falsch... als letztes kam noch ne windowsmeldung das die anwendung der vtsqn.exe nicht gefunden wurde etc. hier noch ma nen HijackThis log: Logfile of HijackThis v1.99.1 Scan saved at 17:52:42, on 06.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\CPUCooL\CooLSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\programme\Last.fm\LastFMHelper.exe C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\***\Desktop\ABC.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005 F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll O2 - BHO: (no name) - {C0F1A38B-820F-4B8A-8446-F71DF88750DA} - C:\WINDOWS\system32\vtsqn.dll O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe komische sachen... hoffe du kannst mir weiterhelfen danke schon ma im voraus |
06.01.2008, 18:03 | #6 | ||
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 immer ruhig bleiben: Zunächst bitte folgendes: Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei. MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Zitat:
Außerdem noch mal ein neues Hijacklog, ich muss sehen was alles entfernt wurde! |
06.01.2008, 18:53 | #7 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 also das is die avenger.txt: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nrfqnree ******************* Script file located at: \??\C:\Program Files\dfygxpgc.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\vtsqn.exe not found! Deletion of file C:\WINDOWS\system32\vtsqn.exe failed! Could not process line: C:\WINDOWS\system32\vtsqn.exe Status: 0xc0000034 File C:\WINDOWS\system32\awttqon.dll deleted successfully. File C:\WINDOWS\system32\vtsqn.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. danach hab ich neugestartet und antivir hat wieder den TR/Drop.Agent.dgo.8 gefunde aber diesmal auch in TMP dateien mit zahlen... danach kam wieder die meldung das vtsqn.exe net gefunden werden konnte... bin jetzt schon knapp ne halbe stunde mit escan am suchen hat schon 50 viren und 67 fehler gefunden allerdings kam auch die meldung das ich zum entfernen escan kaufen muss... sobalds fertig ist poste ich das ergebnis |
06.01.2008, 19:08 | #8 | |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Poste als erstes das Ergebnis von eScan, erst dann machen wir weiter. Obwohl, das hier kannst du schon machen, damit nach dem Neustart keine Meldung mehr kommt das eine Datei fehlt: Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig) Zitat:
Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. |
06.01.2008, 19:59 | #9 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ergebnis von escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.4 Sprache: German Virus-Datenbank Datum: 1/6/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "perfwo Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen. System found infected with peopleonpage Spyware/Adware (load.exe)! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\CTFMON.EXE infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX43.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX45.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX49.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX4B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX53.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCX59.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXBD.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\RCXC3.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX43.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX45.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX49.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX4B.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX53.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCX59.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCXBD.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\RCXC3.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\programme\powerdvd\Language\Language.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\programme\powerdvd\PDVDServ.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ctfmon.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\ctfmon.exe.tmp infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\vtsqn.exe infiziert von "Trojan-Dropper.Win32.Agent.dgo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei E:\Programme\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\DOCUME~1\Jonny\LOCALS~1\Temp\mirc631.exe//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen. File C:\DOCUME~1\Jonny\LOCALS~1\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\avenger\backup.zip/avenger/awttqon.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Jonny\Local Settings\Temp\mirc631.exe//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen. File C:\Documents and Settings\Jonny\Local Settings\Temp\NeroDemo12547\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen. File C:\WINDOWS\system32\vtsqn.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.dih". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei E:\Downloads\mirc631.exe//stream//data0001//stream//data0014 markiert als not-a-virus:Client-IRC.Win32.mIRC.631. Keine Aktion vorgenommen. Datei E:\Programme\VNC4\vncconfig.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei E:\Programme\VNC4\vncviewer.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei E:\Programme\VNC4\winvnc4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. Datei E:\Programme\VNC4\wm_hooks.dll markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\DOCUME~1\Jonny\LOCALS~1\Temp\war3_install.exe Offending file found: C:\Documents and Settings\Jonny\Desktop\exen\load!0.47.1\load.exe Offending file found: E:\cs-lan\valve\sound\vox\found.wav Offending file found: E:\cslan\valve\sound\vox\found.wav Offending file found: E:\steam\support.url Offending file found: C:\Documents and Settings\Jonny\Local Settings\temp\nerodemo12547\toolbar.exe Offending file found: C:\Documents and Settings\Jonny\Local Settings\temp\war3_install.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Program Files\powerstrip Offending Folder found: C:\Documents and Settings\Jonny\Application Data\icq\bart\1024 Offending Folder found: E:\downloads\244690023 jan h\aoe ii\data\load Offending Folder found: C:\Documents and Settings\Jonny\Start Menu\programs\powerstrip Offending Folder found: C:\Documents and Settings\Jonny\Start Menu\Programs\powerstrip ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\powerstrip !!! Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\load !!! Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\powerstrip !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\WINDOWS\mui\FALLBACK\0407\cicap.sys.mui nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\mui\FALLBACK\0407\sk98xwin.sys.mui nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 123276 Gefundene Viren: 64 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 110 Dauer des Scans bisher: 01:19:28 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 19:55:17,98 Batchende: 19:55:32,01 und registrysearch: Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 06.01.2008 19:16:28 for strings: ; 'vtsqn.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load] "command"="C:\\WINDOWS\\system32\\vtsqn.exe" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU] "000"="vtsqn.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\WINDOWS\\system32\\vtsqn.exe"="vtsqn" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINDOWS\\system32\\vtsqn.exe" ; End Of The Log... und dann noch ma hjt-log: Logfile of HijackThis v1.99.1 Scan saved at 19:57:18, on 06.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\***\Desktop\ABC.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005 F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing) O2 - BHO: (no name) - {DC25336A-3C4B-4B7E-8A79-014F6421B072} - C:\WINDOWS\system32\vtsqn.dll O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe kann ich wieder ausm abgesicherten rausgehen? |
06.01.2008, 20:06 | #10 |
Administrator > Competence Manager | TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Wann hast du das Hijacklog erstellt? Noch im abgesicherten Modus nach dem eScan? Ich bin gleich offline, wir machen morgen Nachmittag hier weiter. Sunny |
06.01.2008, 20:08 | #11 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 ja hab ich bin immer noch im abgesicherten modus |
06.01.2008, 20:31 | #12 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 willst du noch einen hijack-log ausm normalen? Logfile of HijackThis v1.99.1 Scan saved at 20:28:45, on 06.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\CPUCooL\CooLSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ctfmon .exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\programme\Last.fm\LastFMHelper.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\ICQ6\ICQ.exe C:\Documents and Settings\***\Desktop\ABC.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005 F3 - REG:win.ini: load=C:\WINDOWS\system32\vtsqn.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {69787C77-F6C1-4FFB-922B-720BED612054} - C:\WINDOWS\system32\vtsqn.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {9F157D03-3DCC-4B4E-87CE-35F464BD3C3D} - C:\WINDOWS\system32\awttqon.dll (file missing) O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LanguageShortcut] C:\programme\powerdvd\Language\Language.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Last.fm Helper.lnk = C:\programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{8A47A482-0610-4CD9-BDE2-2E3DA463809C}: NameServer = 192.168.100.10 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Program Files\CPUCooL\CooLSrv.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
07.01.2008, 16:26 | #13 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Mitlerweile gibt mir antivir dauerhaft virusmelden von der vtsqn.dll und TR/Vundo.DVD, wär schön wenn du mir bald weiter helfen könntest oder irgendein anderer.... |
07.01.2008, 16:47 | #14 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Ich glaube, du hast da einen Backdoor am laufen. Überprüfe mal die Datei C:\WINDOWS\system32\vtsqn.exe bei VirusTotal Achte darauf, dass du alles siehst. Also auch die versteckten und Systemdateien. Wenn es das ist was ich vermute, wirst du um ein Neu aufsetzen nicht herumkommen. |
07.01.2008, 17:00 | #15 |
| TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 Da ich jetzt die ständigen meldungen von antivir ignoriert hab, hatte ich sogar ma ne vtsqn.exe und net nur die .dll ( nehme an das die sonst von antivir gelöscht wurde und das auch wirksam zumindest für kurze zeit... ) hier das ergebnis: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.7.11 2008.01.07 Dropper/Agent.348160.B AntiVir 7.6.0.46 2008.01.07 TR/Drop.Agent.dgo.21 Authentium 4.93.8 2008.01.06 W32/Virtumonde.OQ Avast 4.7.1098.0 2008.01.06 Win32:TratBHO AVG 7.5.0.516 2008.01.07 Dropper.Agent.GIT BitDefender 7.2 2008.01.07 Trojan.Dropper.Vundo.D CAT-QuickHeal 9.00 2008.01.05 TrojanDropper.Agent.dgo ClamAV 0.91.2 2008.01.07 Trojan.Vundo-851 DrWeb 4.44.0.09170 2008.01.07 Trojan.MulDrop.10006 eSafe 7.0.15.0 2008.01.06 - eTrust-Vet 31.3.5438 2008.01.07 Win32/Trats.A Ewido 4.0 2008.01.07 Dropper.Agent.dgo FileAdvisor 1 2008.01.07 - Fortinet 3.14.0.0 2008.01.07 - F-Prot 4.4.2.54 2008.01.06 W32/Virtumonde.OQ F-Secure 6.70.13030.0 2008.01.07 Trojan-Dropper.Win32.Agent.dgo Ikarus T3.1.1.15 2008.01.07 Trojan-Dropper.Win32.Agent.dgo Kaspersky 7.0.0.125 2008.01.07 Trojan-Dropper.Win32.Agent.dgo McAfee 5200 2008.01.04 - Microsoft 1.3109 2008.01.07 Virus:Win32/Trats.C NOD32v2 2770 2008.01.07 Win32/TrojanDropper.Agent.DGO Norman 5.80.02 2008.01.04 W32/Vundo.AY Panda 9.0.0.4 2008.01.07 Trj/Dropper.ZN Prevx1 V2 2008.01.07 - Rising 20.26.02.00 2008.01.07 - Sophos 4.24.0 2008.01.07 W32/VirtInf-B Sunbelt 2.2.907.0 2008.01.05 - Symantec 10 2008.01.07 W32.Trats!inf TheHacker 6.2.9.183 2008.01.07 W32/Zhelatin.gen VBA32 3.12.2.5 2008.01.07 Win32.TrojanDropper.Agent.DGO VirusBuster 4.3.26:9 2008.01.06 Win32.Trats.Gen Webwasher-Gateway 6.6.2 2008.01.07 Trojan.Drop.Agent.dgo.21 weitere Informationen File size: 348160 bytes MD5: c123ec26bac971fc88d4ddfbc9ebbb62 SHA1: 82938c9e13f41b97fe78c7d2e9a5a1f693256eb2 PEiD: - und wie siehts jetzt aus? was kann ich tun, leider meldet sich sunny ja nicht mehr obwohl er online ist mmhpf?!? Geändert von L3g3nD (07.01.2008 um 17:20 Uhr) |
Themen zu TR/Drop.Agent.dgo.8 oder ...dgo.42 oder ...dgo.21 |
.dll, adobe, antivir, avgnt, avgnt.exe, avira, bho, desktop, explorer, firefox, frage, gservice, hijack, home, internet, internet explorer, mozilla, mozilla firefox, nvidia, pdf, prozesse, rundll, security, software, system, viren, virus, windows, windows xp |