Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Brauche Hilfe! TR/Agent.249856.B

Brauche Hilfe! TR/Agent.249856.B


Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe! TR/Agent.249856.B

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.03.2008, 16:52   #1
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hallo!
Sofort nach dem Sytemstart zeigt mir mein Antivir einen Meldung an, und weißt mich auf einen Trojaner hin in der Datei gypwgvitdbx.exe und sagt, dass es der Trojaner Tr/Agent.249856.B sei. Leider bekomme ich die Datei nicht eglöscht, so dass ich ziemlich regelmäßig die AntiVirmeldung bekomme. Anbei hab ich mal das Logfile HijackThis gepackt. Wäre super, wenn mir jemand bei meinem Problem helfen kann.

Gruß Jan

HiJackThsi-LogFile:

HTML-Code:
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\Thunderbird\thunderbird.exe
C:\WINDOWS\explorer.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)

--
End of file - 7265 bytes
Alt 29.03.2008, 17:08   #2
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hallo 400M

Bitte lasse folgende Dateien hier oder hier online scanne:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe

O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe

O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)

Bitte downloade dir auch ccleaner und lasse dir dein system säubern + registry reparieren.
Danach bitte combofix downloaden, anwenden und den report posten.
__________________
Alt 29.03.2008, 19:28   #3
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Hi, ok danke für deine erste Hilfe, ich lasse das dann mal durchlaufen...

Hier die Ergebnisse:

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
--> Fazit: 0 von 32
HTML-Code:
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	2008.3.29.0 	2008.03.29 	-
AntiVir 	7.6.0.78 	2008.03.28 	-
Authentium 	4.93.8 	2008.03.29 	-
Avast 	4.7.1098.0 	2008.03.29 	-
AVG 	7.5.0.516 	2008.03.28 	-
BitDefender 	7.2 	2008.03.29 	-
CAT-QuickHeal 	9.50 	2008.03.28 	-
ClamAV 	0.92.1 	2008.03.29 	-
DrWeb 	4.44.0.09170 	2008.03.29 	-
eSafe 	7.0.15.0 	2008.03.18 	-
eTrust-Vet 	31.3.5653 	2008.03.29 	-
Ewido 	4.0 	2008.03.29 	-
FileAdvisor 	1 	2008.03.29 	-
Fortinet 	3.14.0.0 	2008.03.29 	-
F-Prot 	4.4.2.54 	2008.03.28 	-
F-Secure 	6.70.13260.0 	2008.03.29 	-
Ikarus 	T3.1.1.20 	2008.03.29 	-
Kaspersky 	7.0.0.125 	2008.03.29 	-
McAfee 	5262 	2008.03.28 	-
Microsoft 	1.3301 	2008.03.28 	-
NOD32v2 	2983 	2008.03.29 	-
Norman 	5.80.02 	2008.03.28 	-
Panda 	9.0.0.4 	2008.03.29 	-
Prevx1 	V2 	2008.03.29 	-
Rising 	20.37.51.00 	2008.03.29 	-
Sophos 	4.28.0 	2008.03.29 	-
Sunbelt 	3.0.978.0 	2008.03.18 	-
Symantec 	10 	2008.03.29 	-
TheHacker 	6.2.92.258 	2008.03.29 	-
VBA32 	3.12.6.3 	2008.03.25 	-
VirusBuster 	4.3.26:9 	2008.03.29 	-
Webwasher-Gateway 	6.6.2 	2008.03.29 	-
weitere Informationen
File size: 217088 bytes
MD5: 431a18c5e9f8827193afcb74e3880888
SHA1: c7cf0efdde387f2f9bf0b679efc3457fb2b4f007
PEiD: -
O4 - HKLM\..\Run: [cjvvqsbrmsul] C:\WINDOWS\system32\cjvvqsbrmsul.exe
--> Die Datei existiert nicht in meinem System32 Ordner, ist dort nicht aufzufinden!

O4 - HKLM\..\Run: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
--> Fazit: 11 von 32
HTML-Code:
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.3.29.0	2008.03.29	-
AntiVir	7.6.0.78	2008.03.28	TR/Agent.249856.B
Authentium	4.93.8	2008.03.29	-
Avast	4.7.1098.0	2008.03.29	-
AVG	7.5.0.516	2008.03.28	SHeur.BANS
BitDefender	7.2	2008.03.29	-
CAT-QuickHeal	9.50	2008.03.28	-
ClamAV	0.92.1	2008.03.29	Trojan.Downloader-27280
DrWeb	4.44.0.09170	2008.03.29	-
eSafe	7.0.15.0	2008.03.18	Suspicious File
eTrust-Vet	31.3.5653	2008.03.29	-
Ewido	4.0	2008.03.29	-
F-Prot	4.4.2.54	2008.03.28	-
F-Secure	6.70.13260.0	2008.03.29	Trojan-Downloader.Win32.Agent.mba
FileAdvisor	1	2008.03.29	-
Fortinet	3.14.0.0	2008.03.29	-
Ikarus	T3.1.1.20	2008.03.29	Backdoor.Win32.Oderoor.B
Kaspersky	7.0.0.125	2008.03.29	Trojan-Downloader.Win32.Agent.mba
McAfee	5262	2008.03.28	-
Microsoft	1.3301	2008.03.28	Backdoor:Win32/Oderoor.gen!B
NOD32v2	2984	2008.03.29	-
Norman	5.80.02	2008.03.28	-
Panda	9.0.0.4	2008.03.29	-
Prevx1	V2	2008.03.29	Covert.Sys.Exec
Rising	20.37.51.00	2008.03.29	-
Sophos	4.28.0	2008.03.29	Mal/EncPk-CK
Sunbelt	3.0.978.0	2008.03.18	-
Symantec	10	2008.03.29	-
TheHacker	6.2.92.258	2008.03.29	-
VBA32	3.12.6.3	2008.03.25	-
VirusBuster	4.3.26:9	2008.03.29	-
Webwasher-Gateway	6.6.2	2008.03.29	Trojan.Agent.249856.B
weitere Informationen
File size: 188416 bytes
MD5: fb57076a1a523f7a214634f52f934e6b
SHA1: b594b47b7ce3c4717cbc0b35e5e153e4454b36ae
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7311C21000DDFC89E02C022DDDE82A00158A5DFD
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\cjvvqsbrmsul.exe (file missing)
--> Datei ist nicht vorhanden!

Ich führe jetzt den CCleaner aus und poste dann ebenfalls das combofox logfile.
__________________
Alt 29.03.2008, 19:33   #4
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Also da du nen Backdoor hast würde ich dir Neuaufsetzen empfehlen

Ansonsten lösche die infizierten dateien mit KillBox

Nach dem du ComboFix angewendet hast den report posten + neues HijackThis logfile posten

Alt 29.03.2008, 19:39   #5
400M
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Ok, danke für deine Hilfe bis hierher virus.

Jetzt habe ich das Programm ComboFix durchlaufen lassen und hier das entsprechende logfile dazu:
HTML-Code:
ComboFix 08-03-27.5 - Jan 2008-03-29 19:31:13.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.1622 [GMT 1:00]
ausgeführt von:: F:\Internet\Download\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


(((((((((((((((((((((((   Dateien erstellt von 2008-02-28 bis 2008-03-29  ))))))))))))))))))))))))))))))
.

2008-03-24 17:48 . 2007-07-30 19:19	271,224	--a------	C:\WINDOWS\system32\mucltui.dll
2008-03-24 17:48 . 2007-07-30 19:19	207,736	--a------	C:\WINDOWS\system32\muweb.dll
2008-03-24 17:48 . 2007-07-30 19:18	30,072	--a------	C:\WINDOWS\system32\mucltui.dll.mui
2008-03-24 14:12 . 2008-03-24 14:11	691,545	--a------	C:\WINDOWS\unins000.exe
2008-03-24 14:12 . 2008-03-24 14:12	2,543	--a------	C:\WINDOWS\unins000.dat
2008-03-24 14:06 . 2008-03-24 14:04	188,416	--a------	C:\WINDOWS\system32\gypwgvitdbbx.VIR
2008-03-24 13:22 . 2008-03-24 13:23	<DIR>	d--------	C:\Programme\Windows Live
2008-03-24 13:22 . 2008-03-24 13:22	<DIR>	d--hsc---	C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-03-24 13:22 . 2008-03-24 13:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 13:44	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-22 19:04	---------	d-----w	C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Tobit
2008-02-16 11:03	---------	d-----w	C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Steganos
2008-02-07 18:14	73,216	----a-w	C:\WINDOWS\cadkasdeinst01.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 07:00 16050176 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [2007-03-22 03:50 1622016 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-12-15 03:58 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-12-15 03:58 69632]
"WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2006-12-15 03:59 217088]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:17 249896]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-12-28 00:02 1454080]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-03-22 03:50 8425472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"gypwgvitdbbx"="C:\WINDOWS\system32\gypwgvitdbbx.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SSS2006"="E:\Programme\Steganos Security Suite 2006\SSS2006.exe" [2006-06-08 11:44 5279744]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Fast Start]
--a------ 2006-11-20 11:36 50736 C:\Programme\AOL 9.0 VR\AOL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 15:14 147456 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClipIncSrvTray]
f:\Mp3\Radio\ClipInc\Player\ClipIncTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]
--a------ 2006-11-14 14:47 50736 C:\Programme\Gemeinsame Dateien\AOL\1178801220\ee\AOLSoftware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-08-04 16:28 49152 C:\Programme\HP\HP Software Update\HPWuSchd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPWUTOOLBOX]
--a------ 2005-07-23 01:18 352256 C:\Programme\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-12-19 15:48 172280 E:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMC]
E:\Programme\FriendFinder\FriendFinder Messenger 30\imc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-04-19 12:26 484904 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 08:41 282624 E:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS2006]
--a------ 2006-06-08 11:44 5279744 E:\Programme\Steganos Security Suite 2006\SSS2006.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 02:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-05-10 13:08 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\acs\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\acs\\AOLacsd.exe"=
"C:\\Programme\\AOL 9.0 VR\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\TopSpeed\\3.0\\aoltpsd3.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"G:\\TrackMania\\TmOriginal.exe"=
"G:\\Programme\\Emergency 4\\Em4.exe"=
"G:\\Programme\\Airline Tycoon - Deluxe\\At.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"G:\\Programme\\Monte Cristo\\Fire Department 3\\FD3.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"E:\\Programme\\LECTURNITY Player\\JRE\\bin\\javaw.exe"=
"G:\\Programme\\Electronic Arts\\Need for Speed ProStreet\\nfs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42]
S2 uouupwi4i3;Print Spooler Service;C:\WINDOWS\system32\gypwgvitdbbx.exe []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 00:02]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 00:02]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-01-24 14:38]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-01-24 14:38]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-01-24 14:38]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 19:33:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 19:34:42 - machine was rebooted
ComboFix-quarantined-files.txt  2008-03-29 18:34:39
ComboFix2.txt  2008-03-29 16:33:00
               5 Verzeichnis(se),  9,680,625,664 Bytes frei
              10 Verzeichnis(se),  9,671,503,872 Bytes frei
.
2008-03-24 17:26:03	--- E O F ---
Und das entsprechende aktuelle Log-File von HiJackThis:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:27, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\SatSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\RunServices: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SSS2006] "E:\Programme\Steganos Security Suite 2006\SSS2006.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - E:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\SatSrv.exe
O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\gypwgvitdbbx.exe (file missing)

--
End of file - 6780 bytes
Danke fürs drüberschauen!


Alt 29.03.2008, 19:46   #6
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Also fixe folgende Einträge mit hijackthis:

O4 - HKLM\..\RunServices: [gypwgvitdbbx] C:\WINDOWS\system32\gypwgvitdbbx.exe kontrollier nochmals ob du die datei wirklich gelöscht hast (vor dem fixen mit HijackThis im taskmanager den "gypwgvitdbbx.exe" prozess beenden)

O23 - Service: Print Spooler Service (uouupwi4i3) - Unknown owner - C:\WINDOWS\system32\gypwgvitdbbx.exe (file missing)

das combofix logfile schaue ich mir morgen an noch nen schönen abend

Alt 30.03.2008, 15:59   #7
virus
Gast
 
Brauche Hilfe! TR/Agent.249856.B - Standard

Brauche Hilfe! TR/Agent.249856.B


Bitte folgende Dateien hier oder hier online scannen lassen:

C:\WINDOWS\system32\mucltui.dll

C:\WINDOWS\system32\mucltui.dll.mui

C:\WINDOWS\system32\gypwgvitdbbx.VIR

C:\WINDOWS\cadkasdeinst01.exe

C:\WINDOWS\RTHDCPL.exe

C:\WINDOWS\SkyTel.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\WINDOWS\system32\gypwgvitdbbx.exe

C:\\WINDOWS\\system32\\dplaysvr.exe

C:\\WINDOWS\\system32\\javaw.exe

E:\\Programme\\LECTURNITY Player\\JRE\\bin\\javaw.exe

C:\WINDOWS\system32\drivers\avmeject.sys

C:\WINDOWS\system32\nvsvc32.exe

dort wo er etwas findet bitte report posten

Antwort

Themen zu Brauche Hilfe! TR/Agent.249856.B
adobe, antivir, avg, avgnt, avgnt.exe, avira, bho, brauche hilfe, ctfmon.exe, excel, firefox, gservice, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, nvidia, problem, programme, rundll, security, security suite, software, stick, super, system, trojaner, windows


« msdtc (verlangsamt pc ohne ende) | Hilfeeeeee!!!!!!!! Spyware*File Secure* »


Ähnliche Themen: Brauche Hilfe! TR/Agent.249856.B


  1. unter anderem TR/Agent.249856.76 - angebliche Mahnung im Mailanhang infiziert Rechner mit Trojaner
    Log-Analyse und Auswertung - 14.03.2013 (11)
  2. Antivir findet TR/Agent.xcy seit 06.05.2009 ... brauche Hilfe zur Beseitigung
    Log-Analyse und Auswertung - 03.12.2009 (14)
  3. Brauche Hilfe - Trojan.Agent
    Log-Analyse und Auswertung - 03.08.2009 (2)
  4. TR/Spy.Agent.NVX.1 Vielleicht ein Silentbanker Ableger? Brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 02.07.2009 (0)
  5. TR/Agent.buxq muss weg! brauche eure hilfe
    Log-Analyse und Auswertung - 17.03.2009 (5)
  6. Brauche bitte Hilfe bei TR/Agent AHYP!!!
    Mülltonne - 26.04.2008 (0)
  7. Brauche Hilfe! trojan-agent-winlogonhook, trojan-downloader-zlob, ...
    Plagegeister aller Art und deren Bekämpfung - 05.02.2008 (0)
  8. Brauche Hilfe bei Trojaner "TR/Drop.Agent.dgo.8"
    Log-Analyse und Auswertung - 02.01.2008 (17)
  9. Brauche Hilfe wefen BAT/Agent.R Virus
    Mülltonne - 10.09.2007 (3)
  10. Virus "Trojan-Downloader.Win32.Agent variable" Brauche Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 12.08.2007 (5)
  11. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  12. TR/Agent.BI - Brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (1)
  13. [Agent.AY] Brauche hilfe
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (2)
  14. brauche Hilfe: BDS/Agent.AY
    Log-Analyse und Auswertung - 04.02.2005 (9)
  15. BDS/Agent.AY brauche eure Hilfe
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (74)
  16. brauche bitte hilfe, "BDS/Agent AY"
    Log-Analyse und Auswertung - 27.09.2004 (4)
  17. Brauche Hilfe mit Troj-agent.ac!!!
    Log-Analyse und Auswertung - 06.08.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Brauche Hilfe! TR/Agent.249856.B - Hallo! Sofort nach dem Sytemstart zeigt mir mein Antivir einen Meldung an, und weißt mich auf einen Trojaner hin in der Datei gypwgvitdbx.exe und sagt, dass es der Trojaner Tr/Agent.249856.B - Brauche Hilfe! TR/Agent.249856.B...
Archiv
Du betrachtest: Brauche Hilfe! TR/Agent.249856.B auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27