|
Log-Analyse und Auswertung: about blank oder Troj-agent.ac - noch einen Tipp?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.06.2004, 22:36 | #1 |
| about blank oder Troj-agent.ac - noch einen Tipp? Ich habe einen echt hartnäckigen Burschen auf meinem Rechner - about blank oder bei Trendmicro auch Troj-agent.ac genannt. Mein System: Win XP SP1 und Internet Explorer SP1. Ich habe in der letzten Woche schon viel über Browser Hijacking und die "klassische" Reinigung des Rechners bei euch und anderen Boards gelesen und viel probiert, aber irgendwie habe ich das Gefühl, dass ich mit AdAware, Spybot, XP Antispy u.a. sehr schön die Symptome bekämpfe (sprich die Registryeinträge lösche), aber alles nach dem Reboot wieder zurückgesetzt ist und der Übeltäter immer noch aktiv ist! Meine Startseite ist neuerdings immer "about blank" und mit vielen Links versehen. Mein Trendmicro Virenscanner meldet mir ständig, dass er "TROJ_AGENT.AC" im Pfad "C:\WINDOWS\SYSTEM32\WDMBKD.DLL" gefunden hat. Anfangs habe ich gedacht, dass ich ihn einfach löschen könnte, was natürlich nicht funktioniert hat. Ein Umbenennen und Verschieben war auch nicht möglich, wobei er nach dem "zurückbenennen" plötzlich verschwunden ist. Trendmicro findet ihn aber trotzdem noch! Auch das "Backdoor Agent AC Removaltool" von Kaspersky hat nicht funktioniert. [img]graemlins/crazy.gif[/img] Ich finde, dass das HiJack log auch nicht mehr so umfangreich aussieht und ich finde auch nichts mehr, was ich mit ruhigem Gewissen löschen würde. Hat vielleicht noch jemand einen heißen Tipp für mich was ich noch probieren könnte? Ich bin am Ende mit einem Latein, möchte aber nicht durch ein "Format C:" kampflos aufgeben. Jeder Tipp ist mehr als willkommen!!! Spinnt vielleicht mein Virenscanner? Hier noch mein HiJack This Log: Logfile of HijackThis v1.97.7 Scan saved at 22:33:35, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\0190 Warner\w0svc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Acer\Notebook Manager\almxptray.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\TPPALDR.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe D:\WUTemp\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Brorsen\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Brorsen\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.acer.com/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winspool.exe O4 - HKCU\..\Run: [System Update2] c:\dokume~1\brorsen\anwend~1\services.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7926.274212963 O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab |
21.06.2004, 02:44 | #2 |
| about blank oder Troj-agent.ac - noch einen Tipp? Hallo!
__________________Du hast es prinzipiell bereits richtig erkannt: die Schutz- und Entfernungssoftware ist in weiten Teilen einfach wirkungslos. Geh nun wie folgt vor: 1.) Den Internet Explorer und alle Windows Explorer Fenster schließen. 2.) In HijackThis die unten genannten Einträge markieren, dann "Fix checked" wählen. 3.) Systemwiederherstellung deaktivieren. http://www.systemwiederherstellung-d...indows-xp.html 4.) Windows im abgesicherten Modus (dazu Taste F8 nach dem Einschalten des PC's gedrückt halten und anschl. Start im abgesicherten Modus auswählen) starten. 5.) Dort alle unten genannten Dateien löschen! 6.) Neustart im normalen Modus. 7.) Prüfen mit HijackThis, ob alles entfernt wurde. 8.) Browserwechsel. Mit dem IE wirst du immer wieder mit solchen Trojanern "beglückt" werden. Tipp: Mozilla Firefox: http://mozilla-europe.org/de/ Folgende Einträge sind gemeint: O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winspool.exe O4 - HKCU\..\Run: [System Update2] c:\dokume~1\brorsen\anwend~1\services.exe Und diese Dateien: C:\WINDOWS\System\winspool.exe c:\dokume~1\brorsen\anwend~1\services.exe C:\WINDOWS\SYSTEM32\WDMBKD.DLL Prüf zudem im abgesicherten Modus in der Reigistry diesen Eintrag: KEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\Windows AppInit_DLLs = "<%Malware Path%>" Quelle der Info: http://www.trendmicro.com/vinfo/viru...ENT.AC&VSect=T |
Themen zu about blank oder Troj-agent.ac - noch einen Tipp? |
about blank, backdoor, bho, browser, browser hijacking, explorer, format, hijack this, hijackthis, ics, internet, internet explorer, internet security, kaspersky, launch, log, löschen, meinem, microsoft, nicht möglich, notebook, object, programme, scan, security, shockwave, software, system, system32, trend micro, träge, windows, windows xp |