Hallo ihr Lieben, da haben mich die Trojaner nach Jahren doch mal wieder aufgesucht. Allerdings kann ich über dieses Teil nichts finden. Er heisst TR/Agent203535. Hab hier mal das Log. Hoffe irgendjemand kann mich retten, denn z. B. mein Onlinegame lässt sich deswegen nicht mehr starten... ;(

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:20, on 18.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 1915 bytes

LG Jackie

Hi,
das ist mal ein übersichtliches Hijackthislog. Oder fehlt da vielleicht ein Teil?

Wo wird der Trojaner von wem gefunden?
Nenn bitte das Programm, dass den Trojaner findet und den Pfad indem es die Datei findet.

lg myrtille

Ich habe das Log mit dem HiJack erstellt, was ich hier im Forum gefunden habe. Habe ja leider keine Ahnung davon... Das Antivir sagt mir jedesmal, wenn ich das Onlinegame sagen will das er eben den o. g. Trojaner gefunden hat. Ich kann ihn jedoch weder löschen, noch reparieren oder sonst was. Habe nun schon mehrer tools laufen lassen, jedoch keine Chance. WEiß nur den o. g. Namen, mehr nicht, es ist im Internet leider nichts zu finden.

LG Chanti

Ach ich hab vergessen, dass es im Online Game ordner (Triggersoft) gefunden wurde. Die Datei heißt dump_wmimmc.sys ^^

Hi,
lade die Datei mal bei virustotal hoch und poste die Auswertung hier.

lg myrtille

Ich hoffe das ist so ok

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.16.0 2008.07.16 -
AntiVir 7.8.0.68 2008.07.16 TR/Agent.203535
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.15 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.16 Agent.PBD
BitDefender 7.2 2008.07.16 -
CAT-QuickHeal 9.50 2008.07.15 -
ClamAV 0.93.1 2008.07.16 -
DrWeb 4.44.0.09170 2008.07.16 -
eSafe 7.0.17.0 2008.07.15 -
eTrust-Vet 31.6.5959 2008.07.16 -
Ewido 4.0 2008.07.16 -
F-Prot 4.4.4.56 2008.07.15 -
F-Secure 7.60.13501.0 2008.07.16 -
Fortinet 3.14.0.0 2008.07.16 -
GData 2.0.7306.1023 2008.07.16 Win32:Trojan-gen
Ikarus T3.1.1.26.0 2008.07.16 -
Kaspersky 7.0.0.125 2008.07.16 -
McAfee 5339 2008.07.15 New Win32.g3
Microsoft 1.3704 2008.07.16 -
NOD32v2 3271 2008.07.16 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.15 -
Prevx1 V2 2008.07.16 Cloaked Malware
Rising 20.53.22.00 2008.07.16 -
Sophos 4.31.0 2008.07.16 -
Sunbelt 3.1.1536.1 2008.07.15 VIPRE.Suspicious
Symantec 10 2008.07.16 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.16 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.15 -
Webwasher-Gateway 6.6.2 2008.07.16 Trojan.Agent.203535
weitere Informationen
File size: 203535 bytes
MD5...: cf5db6871c6aa93ac956504117255a76
SHA1..: 7fb10485661f056a9a33af34cd136c233e3abe38
SHA256: 2d152febafec28e5d62ab773cdefed379285f1f94e56dce3a0e3b9f593027412
SHA512: c3b0c7f0ef795163953947d0b974e76ad4037b85fe5d71e4f35d222c8707cf8c
f92c6496ddcb26db231893e2c83748d2f5a82028a833cb60f89803b38ee2f280
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x19e56
timedatestamp.....: 0x475f9dc7 (Wed Dec 12 08:37:27 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x280 0x7068 0x7080 7.34 ff6052e8945e04a78e1b025519d08991
.data 0x7300 0x1d10 0x1d80 0.51 bda8490f8d800f1f7ff788269730eb31
INIT 0x9080 0x1af0 0x1b00 7.40 e48b43093effe1fc1f9a8b7d6a050bba
.reloc 0xab80 0x26f8f 0x26f8f 7.71 d90d40fb05918ae4b585c7f7b9d1379b

( 2 imports )
> ntoskrnl.exe: _allmul, PsGetVersion, ObfDereferenceObject, ObReferenceObjectByHandle, PsGetCurrentProcessId, strncmp, IoGetCurrentProcess, ZwClose, ObOpenObjectByName, RtlCompareUnicodeString, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, RtlCompareMemory, ObOpenObjectByPointer, MmProbeAndLockPages, ProbeForRead, _except_handler3, IoFreeMdl, MmUnlockPages, MmUnmapLockedPages, KeDetachProcess, MmMapLockedPagesSpecifyCache, MmCreateMdl, KeAttachProcess, _stricmp, strcpy, ZwQuerySystemInformation, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, PsTerminateSystemThread, KeCancelTimer, KeWaitForMultipleObjects, KeSetTimerEx, KeSetEvent, KeInitializeTimerEx, memset, _vsnprintf, KeReadStateEvent, KdEnteredDebugger, KdDebuggerEnabled, Ke386SetIoAccessMap, Ke386QueryIoAccessMap, KeStackAttachProcess, KeGetCurrentThread, PsCreateSystemThread, KeInitializeEvent, Ke386IoSetAccessProcess, KeClearEvent, memmove, IoGetRelatedDeviceObject, ZwDuplicateObject, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, MmFreeNonCachedMemory, PsSetCreateProcessNotifyRoutine, ZwQueryInformationProcess, ZwOpenProcess, MmIsAddressValid, IoCreateNotificationEvent, PsLookupProcessByProcessId, KeServiceDescriptorTable, MmAllocateNonCachedMemory, IoCreateSymbolicLink, IoCreateDevice, strlen, PsGetCurrentThreadId, KeSetTimer, strncpy, KeWaitForSingleObject
> HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel

( 0 exports )
Prevx info: DUMP_WMIMMC.SYS - Prevx

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate meherer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Kann es vielleicht auch sein dass antivir das nur als trojaner erkennt? Wobei war vorher ja auch nicht...

Die Möglickeit besteht, deswegen wollte ich schauen, ob die Datei auch von anderen Programmen erkannt werden.
Das Ergebnis ist allerdings recht unzufriedenstellend, schicke die Datei vielleicht mal als Verdacht auf Fehlalarm an Antivir und schau was die dazusagen:
Datei bei Avira einschicken
Es ist wichtig, dass du "Verdacht auf Fehlalarm" auswählst!

Poste deren Antwort auch hier.

Die Datei wurde hier Hijackthis-forum
zuletzt als Fehlalarm identifiziert.

lg myrtille

Danke habe die Datei an Antivir geschickt, und hoffe bald eine Antwort zu bekommen. Werde diese dann sofort hier posten. Vielen lieben Dank für die Unterstützung ^^

Hallo. Endlich hat Antivir geantwortet und ich muss sagen... alle Mühe umsonst, Rechner neu gemacht, stundenlang auch mit eurer Hilfe eine Lösung gesucht... hier ist die Antwort die ich von Antivir erhalten habe:

Die Datei 'dump_wmimmc.sys' wurde als 'FALSE POSITIVE' eingestuft. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Das Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) entfernt werden.

Also wie vermutet. Blinder Alarm... aber wer soll das wissen

Danke danke für eure Unterstützung.

LG Jackie