|
Plagegeister aller Art und deren Bekämpfung: Trojaner gefunden! TR/BHO.Agent.mioWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.03.2008, 17:10 | #1 |
| Trojaner gefunden! TR/BHO.Agent.mio Also ich habe einen Trojaner entdeckt der TR/BHO.Agent.mio heißt. Wie trete ich dem Trojaner in den Arsch? Also löschen^^ Quelle: E:\\WINDOWS\system32\u0pq5q03.dll Bei Fragen posten Habe mich hier Registiert da ich kaum Ahnung davon habe was ich machen soll und weiß nicht was ich noch posten soll |
13.03.2008, 17:10 | #2 | |
Administrator > Competence Manager | Trojaner gefunden! TR/BHO.Agent.mioHallo Hanfwurst und Willkommen! Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp *Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*
__________________ |
16.03.2008, 01:48 | #3 |
| Trojaner gefunden! TR/BHO.Agent.mio Logfile of HijackThis v1.99.1
__________________Scan saved at 01:26:15, on 16.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\SOUNDMAN.EXE E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Java\jre1.6.0_03\bin\jusched.exe E:\WINDOWS\Dit.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINDOWS\system32\ctfmon.exe C:\Programme\Digital Imaging\bin\hpohmr08.exe C:\Programme\Digital Imaging\bin\hpotdd01.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Programme\Bonjour\mDNSResponder.exe E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\PnkBstrA.exe E:\WINDOWS\system32\svchost.exe C:\Programme\Digital Imaging\bin\hpoevm08.exe C:\Programme\Digital Imaging\Bin\hpoSTS08.exe E:\WINDOWS\system32\wuauclt.exe E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\Programme\Xfire\xfire.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe E:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe E:\Programme\EA GAMES\Battlefield 2\BF2.exe E:\DOKUME~1\DeNito\LOKALE~1\Temp\~e5.0001 E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\This.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-staemme.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - (no file) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AudioDrvEmulator] "E:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "E:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EA Core] "E:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [Steam] "C:\Steam.exe" -silent O4 - HKCU\..\Run: [Expressivo] "C:\Programme\Expressivo Demo\expressivo.exe" -t O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe E:\WINDOWS\system32\u0pq5q03.dll Wenn ich es auf Virustotal hochladen will kommt 0 bytes size received / Se ha recibido un archivo vacio Das andere mach ich morgen... |
16.03.2008, 01:54 | #4 |
| Trojaner gefunden! TR/BHO.Agent.mio Diesen Eintrag bitte Fixen O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - (no file) und diese bei Virustotal hochladen.VirusTotal - Kostenloser online Viren- und Malwarescanner E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\Programme\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Digital Imaging\bin\hpoevm08.exe C:\Programme\Digital Imaging\bin\hpohmr08.exe mfg cartman123 |
16.03.2008, 18:56 | #5 | ||
| Trojaner gefunden! TR/BHO.Agent.mioZitat:
Zitat:
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe Datei sc_watch.exe empfangen 2008.03.16 18:28:35 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) weitere Informationen File size: 81920 bytes MD5: 3e64549b08701fc88af5cf4ec3ee638a SHA1: 098b0621e5f9841b584aa1f1930ad556921bfe2f PEiD: Armadillo v1.71 C:\Programme\Digital Imaging\Bin\hpoSTS08.exe Datei hposts08.exe empfangen 2008.03.16 18:34:19 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) weitere Informationen File size: 311296 bytes MD5: 9617ed95d177636848988a8b513f2571 SHA1: 71b4ebb0e69cc56a17d22c2b1cc34ffb643295c2 PEiD: Armadillo v1.71 C:\Programme\Digital Imaging\bin\hpoevm08.exe Datei hpoevm08.exe empfangen 2008.03.16 18:41:35 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) weitere Informationen File size: 286720 bytes MD5: 3786555153e28aa2a239b2352e657970 SHA1: f45e816a202aefc55884d83734f5e76f2da52e7f PEiD: Armadillo v1.71 C:\Programme\Digital Imaging\bin\hpohmr08.exe File size: 147456 bytes MD5: 03163baf3a5dbf8742804093931d7d32 SHA1: 77491f03c4043c876107941d96741cf0bb7a9b55 PEiD: Armadillo v1.71 Datei hpohmr08.exe empfangen 2008.03.16 18:48:39 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) |
16.03.2008, 19:00 | #6 |
| Trojaner gefunden! TR/BHO.Agent.mio Mach erstmal ein neues Log File dann sehen wir weiter. mfg cartman123 |
16.03.2008, 20:55 | #7 |
| Trojaner gefunden! TR/BHO.Agent.mio Logfile of HijackThis v1.99.1 Scan saved at 20:54:11, on 16.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\SOUNDMAN.EXE E:\WINDOWS\system32\RUNDLL32.EXE E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Java\jre1.6.0_03\bin\jusched.exe E:\WINDOWS\Dit.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINDOWS\system32\ctfmon.exe C:\Programme\Digital Imaging\bin\hpohmr08.exe C:\Programme\Digital Imaging\bin\hpotdd01.exe E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Xfire\xfire.exe E:\Programme\Bonjour\mDNSResponder.exe E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\PnkBstrA.exe E:\WINDOWS\system32\svchost.exe C:\Programme\Digital Imaging\bin\hpoevm08.exe C:\Programme\Digital Imaging\Bin\hpoSTS08.exe E:\WINDOWS\system32\wuauclt.exe e:\programme\EA GAMES\battlefield 2\BF2.exe E:\DOKUME~1\DeNito\LOKALE~1\Temp\~e5.0001 C:\Programme\Teamspeak2_RC2\TeamSpeak.exe E:\WINDOWS\system32\notepad.exe C:\This.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-staemme.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [ICQ Lite] "E:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AudioDrvEmulator] "E:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "E:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EA Core] "E:\Programme\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\Run: [Steam] "C:\Steam.exe" -silent O4 - HKCU\..\Run: [Expressivo] "C:\Programme\Expressivo Demo\expressivo.exe" -t O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: e:\programme\bonjour\mdnsnsp.dll O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe |
17.03.2008, 14:33 | #9 |
| Trojaner gefunden! TR/BHO.Agent.mio Dein Log ist soweit sauber. Aber wenn du auf Nummer sicher gehen willst lass Combofix durchlaufen. mfg cartman123 |
17.03.2008, 15:25 | #10 |
| Trojaner gefunden! TR/BHO.Agent.mio Okay hier ist das Log Ist jetzt alles okay ? ComboFix 08-03-14.4 - DeNito 2008-03-17 15:18:55.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.672 [GMT 1:00] ausgeführt von:: E:\Dokumente und Einstellungen\DeNito\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . E:\WINDOWS\msettings.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 )))))))))))))))))))))))))))))) . 2008-03-11 16:40 . 2008-03-11 16:40 <DIR> d-------- E:\Programme\Vstplugins 2008-03-10 19:14 . 2008-03-10 19:15 <DIR> d-------- E:\Dokumente und Einstellungen\DeNito\Anwendungsdaten\Media Player Classic 2008-03-06 14:30 . 2001-02-15 00:00 287,744 --------- E:\WINDOWS\uno364mi.dll 2008-03-06 14:30 . 2001-02-15 00:00 109,568 --------- E:\WINDOWS\vos364mi.dll 2008-03-06 14:30 . 2001-02-15 00:00 91,648 --------- E:\WINDOWS\osl364mi.dll 2008-03-06 14:30 . 2008-03-06 14:47 211 --a------ E:\WINDOWS\uno.ini 2008-03-06 14:29 . 2008-03-06 14:29 <DIR> d-------- E:\Programme\T-Online Fotoservice 2008-03-06 14:29 . 2008-03-06 14:30 <DIR> d-------- E:\Programme\Gemeinsame Dateien\fun communications 2008-03-06 14:25 . 2008-03-06 14:25 2,560 --a------ E:\WINDOWS\_MSRSTRT.EXE 2008-03-02 17:11 . 2008-03-02 17:11 <DIR> d-------- E:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire 2008-03-02 13:16 . 2008-03-02 13:16 <DIR> d-------- E:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-03-02 13:13 . 2008-03-17 15:07 <DIR> d-------- E:\Dokumente und Einstellungen\DeNito\Anwendungsdaten\Xfire 2008-02-21 02:58 . 2008-02-21 02:58 54,608 -ra------ E:\WINDOWS\system32\xfcodec.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-17 12:32 17,408 ----a-w E:\WINDOWS\system32\drivers\USBCRFT.SYS 2008-03-16 18:05 22,328 ----a-w E:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-03-16 18:03 107,832 ----a-w E:\WINDOWS\system32\PnkBstrB.exe 2008-03-16 15:59 --------- d---a-w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-03-15 17:22 --------- d-----w E:\Programme\No23 Recorder 2008-03-11 20:09 --------- d-----w E:\Dokumente und Einstellungen\DeNito\Anwendungsdaten\teamspeak2 2008-03-11 15:40 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony 2008-03-06 13:44 --------- d-----w E:\Programme\T-Online 2008-03-06 13:29 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware 2008-03-06 13:25 --------- d-----w E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online 2008-02-02 14:57 --------- d--h--w E:\Programme\InstallShield Installation Information 2008-01-11 13:49 499,712 ----a-r E:\WINDOWS\system32\msvcp71.dll 2008-01-11 13:49 348,160 ----a-r E:\WINDOWS\system32\msvcr71.dll 2008-01-06 20:27 60,076 ----a-w E:\WINDOWS\BricoPackUninst.cmd 2008-01-06 20:27 5,396 ----a-w E:\WINDOWS\BricoPackFoldersDelete.cmd 2008-01-06 20:27 219,648 ----a-r E:\WINDOWS\system32\uxtheme.dll 2007-11-22 17:07 22,328 ----a-w E:\Dokumente und Einstellungen\DeNito\Anwendungsdaten\PnkBstrK.sys 2007-11-05 17:13 34,576 ----a-w E:\Dokumente und Einstellungen\DeNito\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-05-03 09:06 163,328 --sh--r E:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r E:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "EA Core"="E:\Programme\Electronic Arts\EADM\Core.exe" [ ] "Steam"="C:\Steam.exe" [2007-12-17 12:41 1266936] "Expressivo"="C:\Programme\Expressivo Demo\expressivo.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2005-11-11 13:07 90112 E:\WINDOWS\soundman.exe] "NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432] "nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 E:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920] "avgnt"="E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:22 249896] "SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "Dit"="Dit.exe" [2004-07-20 17:18 90112 E:\WINDOWS\Dit.exe] "ICQ Lite"="E:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800] "NeroFilterCheck"="E:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "AudioDrvEmulator"="E:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [ ] "TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-11 14:49 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] E:\Dokumente und Einstellungen\DeNito\Startmen\Programme\Autostart\ Xfire.lnk - C:\Programme\Xfire\xfire.exe [2008-02-21 02:58:18 2945872] E:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ hp psc 1000 series.lnk - C:\Programme\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456] hpoddt01.exe.lnk - C:\Programme\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672] Microsoft Office.lnk - C:\Programme\Office10\OSA.EXE [2001-02-13 00:01:04 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "E:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"= "C:\\Programme\\SteamApps\\denitoxxx\\counter-strike source\\hl2.exe"= "E:\\Programme\\T-Online\\T-Online_Software_5\\Browser\\browser.exe"= "E:\\Programme\\ICQLite\\ICQLite.exe"= "E:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Steam.exe"= "C:\\steamapps\\denitoxxx\\counter-strike source\\hl2.exe"= "E:\\WINDOWS\\system32\\dplaysvr.exe"= "E:\\WINDOWS\\system32\\PnkBstrA.exe"= "E:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Programme\\Cod4\\iw3mp.exe"= "C:\\Programme\\Xfire\\xfire.exe"= "E:\\Dokumente und Einstellungen\\DeNito\\Eigene Dateien\\mysql\\bin\\mysqld.exe"= "E:\\Dokumente und Einstellungen\\DeNito\\Eigene Dateien\\apache\\bin\\apache.exe"= S3 CardReaderFilter;Card Reader Filter;E:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-03-17 13:32] S3 ha20x2k;Creative 20X HAL Driver;E:\WINDOWS\system32\drivers\ha20x2k.sys [] . Inhalt des "geplante Tasks" Ordners "2008-03-15 23:00:00 E:\WINDOWS\Tasks\At1.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2007-12-03 08:00:00 E:\WINDOWS\Tasks\At10.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-04 09:00:00 E:\WINDOWS\Tasks\At11.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-04 10:00:00 E:\WINDOWS\Tasks\At12.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-04 11:00:00 E:\WINDOWS\Tasks\At13.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-15 12:00:00 E:\WINDOWS\Tasks\At14.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-17 13:00:00 E:\WINDOWS\Tasks\At15.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-17 14:00:00 E:\WINDOWS\Tasks\At16.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 15:00:00 E:\WINDOWS\Tasks\At17.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 16:00:00 E:\WINDOWS\Tasks\At18.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 17:00:00 E:\WINDOWS\Tasks\At19.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 00:00:00 E:\WINDOWS\Tasks\At2.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 18:00:00 E:\WINDOWS\Tasks\At20.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 19:00:00 E:\WINDOWS\Tasks\At21.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 20:00:01 E:\WINDOWS\Tasks\At22.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 21:00:00 E:\WINDOWS\Tasks\At23.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 22:00:00 E:\WINDOWS\Tasks\At24.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 01:00:00 E:\WINDOWS\Tasks\At3.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-03-16 02:00:00 E:\WINDOWS\Tasks\At4.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-02-10 03:00:00 E:\WINDOWS\Tasks\At5.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2007-12-03 04:00:00 E:\WINDOWS\Tasks\At6.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2007-12-03 05:00:00 E:\WINDOWS\Tasks\At7.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2007-12-03 06:00:00 E:\WINDOWS\Tasks\At8.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2007-12-03 07:00:00 E:\WINDOWS\Tasks\At9.job" - E:\WINDOWS\system32\0vGjFx4w.exe "2008-01-29 19:25:36 E:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1193163852.job" - C:\Programme\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-17 15:20:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-17 15:21:09 ComboFix-quarantined-files.txt 2008-03-17 14:21:07 . 2008-02-13 22:07:05 --- E O F --- |
17.03.2008, 15:33 | #11 |
| Trojaner gefunden! TR/BHO.Agent.mio Hallo, 1. VirusTotal - Kostenloser online Viren- und Malwarescanner E:\WINDOWS\system32\0vGjFx4w.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren 2. OTMoveIt by OldTimer öffne: OTMoveIt.exe Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move Code:
ATTFilter E:\WINDOWS\system32\0vGjFx4w.exe E:\WINDOWS\Tasks\At1.job E:\WINDOWS\Tasks\At10.job E:\WINDOWS\Tasks\At11.job E:\WINDOWS\Tasks\At12.job E:\WINDOWS\Tasks\At13.job E:\WINDOWS\Tasks\At14.job E:\WINDOWS\Tasks\At15.job E:\WINDOWS\Tasks\At16.job E:\WINDOWS\Tasks\At17.job E:\WINDOWS\Tasks\At18.job E:\WINDOWS\Tasks\At19.job E:\WINDOWS\Tasks\At2.job E:\WINDOWS\Tasks\At20.job E:\WINDOWS\Tasks\At21.job E:\WINDOWS\Tasks\At22.job E:\WINDOWS\Tasks\At23.job E:\WINDOWS\Tasks\At24.job E:\WINDOWS\Tasks\At3.job E:\WINDOWS\Tasks\At4.job E:\WINDOWS\Tasks\At5.job E:\WINDOWS\Tasks\At6.job E:\WINDOWS\Tasks\At7.job E:\WINDOWS\Tasks\At8.job E:\WINDOWS\Tasks\At9.job poste hier das Löschlog
__________________ MfG Sabina |
18.03.2008, 14:01 | #12 | ||
| Trojaner gefunden! TR/BHO.Agent.mioZitat:
Zitat:
| | Soll ich das trotzdem machen? |
18.03.2008, 15:06 | #13 |
| Trojaner gefunden! TR/BHO.Agent.mio ja, wende den OTMoveIt an (script) + poste das löschlog
__________________ MfG Sabina |
18.03.2008, 19:32 | #14 |
| Trojaner gefunden! TR/BHO.Agent.mio File/Folder E:\WINDOWS\system32\0vGjFx4w.exe not found. E:\WINDOWS\Tasks\At1.job moved successfully. E:\WINDOWS\Tasks\At10.job moved successfully. E:\WINDOWS\Tasks\At11.job moved successfully. E:\WINDOWS\Tasks\At12.job moved successfully. E:\WINDOWS\Tasks\At13.job moved successfully. E:\WINDOWS\Tasks\At14.job moved successfully. E:\WINDOWS\Tasks\At15.job moved successfully. E:\WINDOWS\Tasks\At16.job moved successfully. E:\WINDOWS\Tasks\At17.job moved successfully. E:\WINDOWS\Tasks\At18.job moved successfully. E:\WINDOWS\Tasks\At19.job moved successfully. E:\WINDOWS\Tasks\At2.job moved successfully. E:\WINDOWS\Tasks\At20.job moved successfully. E:\WINDOWS\Tasks\At21.job moved successfully. E:\WINDOWS\Tasks\At22.job moved successfully. E:\WINDOWS\Tasks\At23.job moved successfully. E:\WINDOWS\Tasks\At24.job moved successfully. E:\WINDOWS\Tasks\At3.job moved successfully. E:\WINDOWS\Tasks\At4.job moved successfully. E:\WINDOWS\Tasks\At5.job moved successfully. E:\WINDOWS\Tasks\At6.job moved successfully. E:\WINDOWS\Tasks\At7.job moved successfully. E:\WINDOWS\Tasks\At8.job moved successfully. E:\WINDOWS\Tasks\At9.job moved successfully. OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03182008_193246 |
19.03.2008, 00:13 | #15 |
| Trojaner gefunden! TR/BHO.Agent.mio
__________________ MfG Sabina |
Themen zu Trojaner gefunden! TR/BHO.Agent.mio |
ahnung, arsch, entdeck, entdeckt, frage, fragen, gefunde, löschen, poste, rojaner gefunden, system, system32, troja, trojaner, trojaner gefunden, windows |