Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Brauche Hilfe! TR/Agent.249856.B

Brauche Hilfe! TR/Agent.249856.B


Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe! TR/Agent.249856.B

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.03.2008, 16:52   #1
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hallo!
Sofort nach dem Sytemstart zeigt mir mein Antivir einen Meldung an, und weißt mich auf einen Trojaner hin in der Datei gypwgvitdbx.exe und sagt, dass es der Trojaner Tr/Agent.249856.B sei. Leider bekomme ich die Datei nicht eglöscht, so dass ich ziemlich regelmäßig die AntiVirmeldung bekomme. Anbei hab ich mal das Logfile HijackThis gepackt. Wäre super, wenn mir jemand bei meinem Problem helfen kann.

Gruß Jan

HiJackThsi-LogFile:

HTML-Code:
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Thunderbird\thunderbird.exe
C:\WINDOWS\explorer.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)

--
End of file - 7265 bytes
Alt 29.03.2008, 17:08   #2
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hallo 400M

Bitte lasse folgende Dateien hier oder hier online scanne:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe

O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe

O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)

Bitte downloade dir auch ccleaner und lasse dir dein system säubern + registry reparieren.
Danach bitte combofix downloaden, anwenden und den report posten.
__________________
Alt 29.03.2008, 19:28   #3
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hi, ok danke für deine erste Hilfe, ich lasse das dann mal durchlaufen...

Hier die Ergebnisse:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
--> Fazit: 0 von 32
HTML-Code:
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.3.29.0 	2008.03.29 	-
AntiVir 	7.6.0.78 	2008.03.28 	-
Authentium 	4.93.8 	2008.03.29 	-
Avast 	4.7.1098.0 	2008.03.29 	-
AVG 	7.5.0.516 	2008.03.28 	-
BitDefender 	7.2 	2008.03.29 	-
CAT-QuickHeal 	9.50 	2008.03.28 	-
ClamAV 	0.92.1 	2008.03.29 	-
DrWeb 	4.44.0.09170 	2008.03.29 	-
eSafe 	7.0.15.0 	2008.03.18 	-
eTrust-Vet 	31.3.5653 	2008.03.29 	-
Ewido 	4.0 	2008.03.29 	-
FileAdvisor 	1 	2008.03.29 	-
Fortinet 	3.14.0.0 	2008.03.29 	-
F-Prot 	4.4.2.54 	2008.03.28 	-
F-Secure 	6.70.13260.0 	2008.03.29 	-
Ikarus 	T3.1.1.20 	2008.03.29 	-
Kaspersky 	7.0.0.125 	2008.03.29 	-
McAfee 	5262 	2008.03.28 	-
Microsoft 	1.3301 	2008.03.28 	-
NOD32v2 	2983 	2008.03.29 	-
Norman 	5.80.02 	2008.03.28 	-
Panda 	9.0.0.4 	2008.03.29 	-
Prevx1 	V2 	2008.03.29 	-
Rising 	20.37.51.00 	2008.03.29 	-
Sophos 	4.28.0 	2008.03.29 	-
Sunbelt 	3.0.978.0 	2008.03.18 	-
Symantec 	10 	2008.03.29 	-
TheHacker 	6.2.92.258 	2008.03.29 	-
VBA32 	3.12.6.3 	2008.03.25 	-
VirusBuster 	4.3.26:9 	2008.03.29 	-
Webwasher-Gateway 	6.6.2 	2008.03.29 	-
weitere Informationen
File size: 217088 bytes
MD5: 431a18c5e9f8827193afcb74e3880888
SHA1: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007
PEiD: -
O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe
--> Die Datei existiert nicht in meinem System32 Ordner, ist dort nicht aufzufinden!

O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
--> Fazit: 11 von 32
HTML-Code:
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.3.29.0	2008.03.29	-
AntiVir	7.6.0.78	2008.03.28	TR/Agent.249856.B
Authentium	4.93.8	2008.03.29	-
Avast	4.7.1098.0	2008.03.29	-
AVG	7.5.0.516	2008.03.28	SHeur.BANS
BitDefender	7.2	2008.03.29	-
CAT-QuickHeal	9.50	2008.03.28	-
ClamAV	0.92.1	2008.03.29	Trojan.Downloader-27280
DrWeb	4.44.0.09170	2008.03.29	-
eSafe	7.0.15.0	2008.03.18	Suspicious File
eTrust-Vet	31.3.5653	2008.03.29	-
Ewido	4.0	2008.03.29	-
F-Prot	4.4.2.54	2008.03.28	-
F-Secure	6.70.13260.0	2008.03.29	Trojan-Downloader.Win32.Agent.mba
FileAdvisor	1	2008.03.29	-
Fortinet	3.14.0.0	2008.03.29	-
Ikarus	T3.1.1.20	2008.03.29	Backdoor.Win32.Oderoor.B
Kaspersky	7.0.0.125	2008.03.29	Trojan-Downloader.Win32.Agent.mba
McAfee	5262	2008.03.28	-
Microsoft	1.3301	2008.03.28	Backdoor:Win32/Oderoor.gen!B
NOD32v2	2984	2008.03.29	-
Norman	5.80.02	2008.03.28	-
Panda	9.0.0.4	2008.03.29	-
Prevx1	V2	2008.03.29	Covert.Sys.Exec
Rising	20.37.51.00	2008.03.29	-
Sophos	4.28.0	2008.03.29	Mal/EncPk-CK
Sunbelt	3.0.978.0	2008.03.18	-
Symantec	10	2008.03.29	-
TheHacker	6.2.92.258	2008.03.29	-
VBA32	3.12.6.3	2008.03.25	-
VirusBuster	4.3.26:9	2008.03.29	-
Webwasher-Gateway	6.6.2	2008.03.29	Trojan.Agent.249856.B
weitere Informationen
File size: 188416 bytes
MD5: fb57076a1a523f7a214634f52f934e6b
SHA1: b594b47b7ce3c4717cbc0b35e5e153e4454b36ae
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7311C21000DDFC89E02C022DDDE82A00158A5DFD
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)
--> Datei ist nicht vorhanden!

Ich führe jetzt den CCleaner aus und poste dann ebenfalls das combofox logfile.
__________________
Alt 29.03.2008, 19:33   #4
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Also da du nen Backdoor hast würde ich dir Neuaufsetzen empfehlen

Ansonsten lösche die infizierten dateien mit KillBox

Nach dem du ComboFix angewendet hast den report posten + neues HijackThis logfile posten

Alt 29.03.2008, 19:39   #5
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Ok, danke für deine Hilfe bis hierher virus.

Jetzt habe ich das Programm ComboFix durchlaufen lassen und hier das entsprechende logfile dazu:
HTML-Code:
ComboFix 08-03-27.5 - Jan 2008-03-29 19:31:13.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1622 [GMT 1:00]
ausgeführt von:: F:\Internet\Download\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


(((((((((((((((((((((((   Dateien erstellt von 2008-02-28 bis 2008-03-29  ))))))))))))))))))))))))))))))
.

2008-03-24 17:48 . 2007-07-30 19:19	271,224	--a------	C:\WINDOWS\system32\mucltui.dll
2008-03-24 17:48 . 2007-07-30 19:19	207,736	--a------	C:\WINDOWS\system32\muweb.dll
2008-03-24 17:48 . 2007-07-30 19:18	30,072	--a------	C:\WINDOWS\system32\mucltui.dll.mui
2008-03-24 14:12 . 2008-03-24 14:11	691,545	--a------	C:\WINDOWS\unins000.exe
2008-03-24 14:12 . 2008-03-24 14:12	2,543	--a------	C:\WINDOWS\unins000.dat
2008-03-24 14:06 . 2008-03-24 14:04	188,416	--a------	C:\WINDOWS\system32\gypwgvitdbbx.VIR
2008-03-24 13:22 . 2008-03-24 13:23	<DIR>	d--------	C:\Programme\Windows Live
2008-03-24 13:22 . 2008-03-24 13:22	<DIR>	d--hsc---	C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-24 13:22 . 2008-03-24 13:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 13:44	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-22 19:04	---------	d-----w	C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Tobit
2008-02-16 11:03	---------	d-----w	C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Steganos
2008-02-07 18:14	73,216	----a-w	C:\WINDOWS\cadkasdeinst01.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 07:00 16050176 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-03-22 03:50 1622016 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-12-15 03:58 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-12-15 03:58 69632]
"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-12-15 03:59 217088]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:17 249896]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:02 1454080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-03-22 03:50 8425472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"gypwgvitdbbx"="C:\WINDOWS\system32\gypwgvitdbbx.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SSS2006"="E:\Programme\Steganos Security Suite 2006\SSS2006.exe" [2006-06-08 11:44 5279744]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Fast Start]
--a------ 2006-11-20 11:36 50736 C:\Programme\AOL 9.0 VR\AOL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
f:\Mp3\Radio\ClipInc\Player\ClipIncTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-11-14 14:47 50736 C:\Programme\Gemeinsame Dateien\AOL\1178801220\ee\AOLSoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-08-04 16:28 49152 C:\Programme\HP\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPWUTOOLBOX]
--a------ 2005-07-23 01:18 352256 C:\Programme\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-12-19 15:48 172280 E:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMC]
E:\Programme\FriendFinder\FriendFinder Messenger 30\imc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-04-19 12:26 484904 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 08:41 282624 E:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2006]
--a------ 2006-06-08 11:44 5279744 E:\Programme\Steganos Security Suite 2006\SSS2006.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-05-10 13:08 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\acs\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\acs\\AOLacsd.exe"=
"C:\\Programme\\AOL 9.0 VR\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"G:\\TrackMania\\TmOriginal.exe"=
"G:\\Programme\\Emergency 4\\Em4.exe"=
"G:\\Programme\\Airline Tycoon - Deluxe\\At.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"G:\\Programme\\Monte Cristo\\Fire Department 3\\FD3.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"E:\\Programme\\LECTURNITY Player\\JRE\\bin\\javaw.exe"=
"G:\\Programme\\Electronic Arts\\Need for Speed ProStreet\\nfs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42]
S2 uouupwi4i3;Print Spooler Service;C:\WINDOWS\system32\gypwgvitdbbx.exe []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 19:33:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 19:34:42 - machine was rebooted
ComboFix-quarantined-files.txt  2008-03-29 18:34:39
ComboFix2.txt  2008-03-29 16:33:00
               5 Verzeichnis(se),  9,680,625,664 Bytes frei
              10 Verzeichnis(se),  9,671,503,872 Bytes frei
.
2008-03-24 17:26:03	--- E O F ---
Und das entsprechende aktuelle Log-File von HiJackThis:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:27, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\RunServices: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\gypwgvitdbbx.exe (file missing)

--
End of file - 6780 bytes
Danke fürs drüberschauen!


Alt 29.03.2008, 19:46   #6
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Also fixe folgende Einträge mit hijackthis:

O4 - HKLM\..\RunServices: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe kontrollier nochmals ob du die datei wirklich gelöscht hast (vor dem fixen mit HijackThis im taskmanager den "gypwgvitdbbx.exe" prozess beenden)

O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\gypwgvitdbbx.exe (file missing)

das combofix logfile schaue ich mir morgen an noch nen schönen abend

Alt 30.03.2008, 15:59   #7
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Bitte folgende Dateien hier oder hier online scannen lassen:

C:\WINDOWS\system32\mucltui.dll

C:\WINDOWS\system32\mucltui.dll.mui

C:\WINDOWS\system32\gypwgvitdbbx.VIR

C:\WINDOWS\cadkasdeinst01.exe

C:\WINDOWS\RTHDCPL.exe

C:\WINDOWS\SkyTel.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\WINDOWS\system32\gypwgvitdbbx.exe

C:\\WINDOWS\\system32\\dplaysvr.exe

C:\\WINDOWS\\system32\\javaw.exe

E:\\Programme\\LECTURNITY Player\\JRE\\bin\\javaw.exe

C:\WINDOWS\system32\drivers\avmeject.sys

C:\WINDOWS\system32\nvsvc32.exe

dort wo er etwas findet bitte report posten

Alt 30.03.2008, 17:22   #8
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hi Virus, alles klar. Die Punkte von gestern hab ich abgearbeitet und poste dann die möglichen Fundtsellen von heute.

Gruß Jan

Alt 30.03.2008, 19:13   #9
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


So hier die Ergebnisse:

HTML-Code:
 Datei mucltui.dll.mui empfangen 2007.09.06 16:51:52 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	-
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
FileAdvisor 	- 	- 	-
Fortinet 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	-
Ikarus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	-
NOD32v2 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
Prevx1 	- 	- 	-
Rising 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	W32/Behav-Heuristic-068
VBA32 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	-
weitere Informationen
MD5: 0907ff5a64a1e93d35f0f7f1db6fab72
SHA1: ad8d100cf81920dee12190de8755bbc4251905d6
SHA256: 1aabdfc6c99a7c326e4b24192c868c4f9697f218f42a0b5af4a8d232c79a12a0
SHA512: 9329df0e5a88b11b3df9f6b8aaba3e92b86687e3781e7e9f14142ebf6df1e04e 4733d48af5b490993221e3bcdb3810c7490b1545976fe9c7e147472f3729cdd2
Datei C:\WINDOWS\system32\gypwgvitdbbx.VIR schon gelöscht, da das die Datei war des Trojaners von gestern

HTML-Code:
 Datei SkyTel.exe empfangen 2008.01.12 00:47:19 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	-
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
FileAdvisor 	- 	- 	Low threat detected
Fortinet 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	-
Ikarus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	-
NOD32v2 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
Prevx1 	- 	- 	-
Rising 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
VBA32 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	-
weitere Informationen
MD5: c74b86642f131d76c0ede673fdf137b2
SHA1: 9665e7b5eae5ccf8f8e84077aba77525b918fd91
SHA256: 91659969cf94979fa980a3c13ab3e7421048e4e2720de6064e9b61fd4df96666
SHA512: e937a8856f514c51da116f973956126fc09b3c58d98b480139cd6d9e13d05280 91ef8d9db5f8cd97c2543f9b57c410a9c3ecb3133e53b920b4871155c202509f
HTML-Code:
 Datei dplaysvr.exe empfangen 2008.03.30 20:01:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/32 (3.13%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 14.
Geschätzte Startzeit is zwischen 84 und 120 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.3.29.0	2008.03.29	-
AntiVir	7.6.0.78	2008.03.28	-
Authentium	4.93.8	2008.03.30	-
Avast	4.7.1098.0	2008.03.29	-
AVG	7.5.0.516	2008.03.30	-
BitDefender	7.2	2008.03.30	-
CAT-QuickHeal	9.50	2008.03.28	-
ClamAV	0.92.1	2008.03.30	-
DrWeb	4.44.0.09170	2008.03.30	-
eSafe	7.0.15.0	2008.03.30	-
eTrust-Vet	31.3.5653	2008.03.29	-
Ewido	4.0	2008.03.30	-
F-Prot	4.4.2.54	2008.03.30	-
F-Secure	6.70.13260.0	2008.03.29	-
FileAdvisor	1	2008.03.30	-
Fortinet	3.14.0.0	2008.03.30	-
Ikarus	T3.1.1.20	2008.03.30	-
Kaspersky	7.0.0.125	2008.03.30	-
McAfee	5262	2008.03.28	-
Microsoft	1.3301	2008.03.30	-
NOD32v2	2984	2008.03.29	-
Norman	5.80.02	2008.03.28	-
Panda	9.0.0.4	2008.03.29	-
Prevx1	V2	2008.03.30	-
Rising	20.37.61.00	2008.03.30	-
Sophos	4.28.0	2008.03.30	-
Sunbelt	3.0.978.0	2008.03.18	-
Symantec	10	2008.03.30	-
TheHacker	6.2.92.258	2008.03.29	-
VBA32	3.12.6.3	2008.03.25	-
VirusBuster	4.3.26:9	2008.03.29	-
Webwasher-Gateway	6.6.2	2008.03.30	BlockReason.0
Die restlichen Dateien schaff ic herst morgen Abend zu Scannen. Ich meld mich dann wieder. Danke!

Alt 01.04.2008, 08:28   #10
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Guten Morgen,

gestern hab ich leider net mehr geschafft zu posten, also die übrigen 4 Dateien, haben kein ergebnis erzeilt, also keinen Treffer.

Wie soll ich weiter verfahren?

Gruß Jan

Alt 01.04.2008, 18:22   #11
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Also, Frage: Hast du immer noch die anfänglich beschriebenen Probleme?

Bitte lade dir Malwarebytes und scanne dein system und lasse alles infizierte löschen (report posten)
Dann Kaspersky online scan machen
Poste bitte noch ein neues HijackThis logfile
Die Links dazu findest du in meiner Signatur.

Alt 02.04.2008, 12:50   #12
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hallo Virus!

So nun hab ich die neuste Liste abgearbeitet und postet hier die netsprechenden logs. Die Probleme, die ich in meinem ersten Posting erwähnt ahbe, gehören inzwischen der Vergangenheit an. Das System läuft wieder ganz normal.

Hier das LogFile von Malwarebytes
HTML-Code:
Malwarebytes' Anti-Malware 1.10
Datenbank Version: 582

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|)
Objekte gescannt: 168487
Scan Dauer: 25 minute(s), 56 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Jan\results.txt (Malware.Trace) -> Quarantined and deleted successfully.
Hier das LogFile von Kaspersky:
HTML-Code:
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Mittwoch, 2. April 2008 13:39:21
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  2/04/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 677575
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 133441
	Viren gefunden: 1
	Infizierte Objekte gefunden: 2
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 00:41:16

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\cert8.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\formhistory.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\history.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\key3.db	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\parent.lock	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\search.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\urlclassifier2.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\webappsstore.sqlite	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\qiga1y5m.default\XUL.mfl	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\Jan\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{6561DB73-11E2-4D7D-99F0-959C9CF5985A}\RP128\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{C500F088-25CA-4787-B30D-517714DA7646}.bin	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\hiberfil.sys	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
D:\Windows\CSC\v2.0.6\pq	Das Objekt ist gesperrt	übersprungen
D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl	Das Objekt ist gesperrt	übersprungen
D:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl	Das Objekt ist gesperrt	übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
F:\Internet\Download\Download_mbam-setup.exe	Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.fs	übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
G:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
G:\System Volume Information\_restore{6561DB73-11E2-4D7D-99F0-959C9CF5985A}\RP128\change.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
--> interessant find ich daran, dass hier der Malwarebytes-Installationsdatei hier mit als verdächtig oder soagr Virus identifiziert (F:\Internet\Download\Download_mbam-setup.exe Infizierte Objekte: not-a-virusownloader.Win32.WinFixer.fs)

Un das neuste Hichjackthis-LogFile:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:05, on 02.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe

--
End of file - 6902 bytes
Vielen Dank für deine Mühe und viele Grüße,

Jan

Alt 02.04.2008, 14:48   #13
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hi 400M

Das sieht wieder ganz gut aus
Lass nochmals ccleaner (rate ich dir jeden Monat einmal laufen zu lassen) laufen und dann sollte alles wieder tip top laufen
freut mich das ich dir helfen konnte

Alt 02.04.2008, 21:41   #14
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Vielen Dank für deine super Hilfe. Du hast mich da echt gerettet.

Danke!

Antwort

Themen zu Brauche Hilfe! TR/Agent.249856.B
adobe, antivir, avg, avgnt, avgnt.exe, avira, bho, brauche hilfe, ctfmon.exe, excel, firefox, gservice, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, nvidia, problem, programme, rundll, security, security suite, software, stick, super, system, trojaner, windows


« msdtc (verlangsamt pc ohne ende) | Hilfeeeeee!!!!!!!! Spyware*File Secure* »


Ähnliche Themen: Brauche Hilfe! TR/Agent.249856.B


  1. unter anderem TR/Agent.249856.76 - angebliche Mahnung im Mailanhang infiziert Rechner mit Trojaner
    Log-Analyse und Auswertung - 14.03.2013 (11)
  2. Antivir findet TR/Agent.xcy seit 06.05.2009 ... brauche Hilfe zur Beseitigung
    Log-Analyse und Auswertung - 03.12.2009 (14)
  3. Brauche Hilfe - Trojan.Agent
    Log-Analyse und Auswertung - 03.08.2009 (2)
  4. TR/Spy.Agent.NVX.1 Vielleicht ein Silentbanker Ableger? Brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 02.07.2009 (0)
  5. TR/Agent.buxq muss weg! brauche eure hilfe
    Log-Analyse und Auswertung - 17.03.2009 (5)
  6. Brauche bitte Hilfe bei TR/Agent AHYP!!!
    Mülltonne - 26.04.2008 (0)
  7. Brauche Hilfe! trojan-agent-winlogonhook, trojan-downloader-zlob, ...
    Plagegeister aller Art und deren Bekämpfung - 05.02.2008 (0)
  8. Brauche Hilfe bei Trojaner "TR/Drop.Agent.dgo.8"
    Log-Analyse und Auswertung - 02.01.2008 (17)
  9. Brauche Hilfe wefen BAT/Agent.R Virus
    Mülltonne - 10.09.2007 (3)
  10. Virus "Trojan-Downloader.Win32.Agent variable" Brauche Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 12.08.2007 (5)
  11. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  12. TR/Agent.BI - Brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (1)
  13. [Agent.AY] Brauche hilfe
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (2)
  14. brauche Hilfe: BDS/Agent.AY
    Log-Analyse und Auswertung - 04.02.2005 (9)
  15. BDS/Agent.AY brauche eure Hilfe
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (74)
  16. brauche bitte hilfe, "BDS/Agent AY"
    Log-Analyse und Auswertung - 27.09.2004 (4)
  17. Brauche Hilfe mit Troj-agent.ac!!!
    Log-Analyse und Auswertung - 06.08.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Brauche Hilfe! TR/Agent.249856.B - Hallo! Sofort nach dem Sytemstart zeigt mir mein Antivir einen Meldung an, und weißt mich auf einen Trojaner hin in der Datei gypwgvitdbx.exe und sagt, dass es der Trojaner Tr/Agent.249856.B - Brauche Hilfe! TR/Agent.249856.B...
Archiv
Du betrachtest: Brauche Hilfe! TR/Agent.249856.B auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131