|
Plagegeister aller Art und deren Bekämpfung: TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.11.2008, 01:16 | #1 |
| TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen. Hallo! Ich habe (wie hier wohl manch Anderer) ein kleines Trojaner-Problem. Avira AntiVir hat gestern den 'TR/Hijack.AG.1' auf meinem Rechner gefunden. Der Pfad war 'C:\WINDOWS\system32\kbdca32.dll'. Spybot SD hat das Ding nicht gefunden... Habe bei google leider nichts drüber gefunden. Ich habe versucht mit AntiVir diese Datei zu löschen. In system32 ist sie seit dem auch nicht mehr zu finden, dafür hat sich jetzt auf C:\ eingenistet und heißt jetzt 'C:\ARK1.tmp'. Nach Versuchen diese zu löschen benennt sich diese Datei ständig um... Jetzt heißt sie 'C:\ARK4.tmp' , da sich die Zahl im Dateinamen mit jedem Löschversuch um 1 erhöht hat... Ich vermute mal, dass das so weiter geht, daher hier meine Bitte mir zu helfen, das Ding auszuräuchern! Da mein Rechner ziemlich frisch aufgesetzt ist, konnte ich anhand des Erstelldatums der Datei und dem Browser-Verlauf rekonstruieren, das diese Datei 7 Sekunden nach der Installation des Adobe Reader 9.0 erstellt wurde, irgendwie sehr verdächtig... Vielleicht gibt es da ja einen Zusammenhang... Hier das HijackThis.log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:27:39, on 12.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\RtkBtMnt.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Alice Software\AliceEinwahl.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225159744782 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{91249AEE-1A0D-4617-B6ED-75AD04B79A6C}: NameServer = 213.191.74.18 62.109.123.196 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- End of file - 5141 bytes Hab, wie einem meiner Vorredner (TR/Hijack.AE.2 (nvnccsrs) im Ordner System32 von M///) empfohlen wurde das Ding nochmal bei VirusTotal durchsuchen lassen: AhnLab-V3 2008.11.11.2 2008.11.11 - AntiVir 7.9.0.31 2008.11.11 TR/Hijack.AG.1 Authentium 5.1.0.4 2008.11.11 - Avast 4.8.1248.0 2008.11.11 - AVG 8.0.0.161 2008.11.11 - BitDefender 7.2 2008.11.11 - CAT-QuickHeal 9.50 2008.11.11 - ClamAV 0.94.1 2008.11.11 - DrWeb 4.44.0.09170 2008.11.12 - eSafe 7.0.17.0 2008.11.11 - eTrust-Vet 31.6.6204 2008.11.11 - Ewido 4.0 2008.11.11 - F-Prot 4.4.4.56 2008.11.11 - Fortinet 3.117.0.0 2008.11.11 - GData 19 2008.11.11 - Ikarus T3.1.1.45.0 2008.11.11 Trojan-Dropper.Agent K7AntiVirus 7.10.522 2008.11.11 - Kaspersky 7.0.0.125 2008.11.12 - McAfee 5430 2008.11.10 - Microsoft 1.4104 2008.11.12 - NOD32 3604 2008.11.11 - Norman 5.80.02 2008.11.11 - Panda 9.0.0.4 2008.11.11 - PCTools 4.4.2.0 2008.11.11 - Prevx1 V2 2008.11.12 Cloaked Malware Rising 21.03.12.00 2008.11.11 - SecureWeb-Gateway 6.7.6 2008.11.11 Trojan.Hijack.AG.1 Sophos 4.35.0 2008.11.11 - Sunbelt 3.1.1785.2 2008.11.11 - Symantec 10 2008.11.11 - TheHacker 6.3.1.1.148 2008.11.11 - TrendMicro 8.700.0.1004 2008.11.11 - VBA32 3.12.8.9 2008.11.11 - ViRobot 2008.11.11.1461 2008.11.11 - VirusBuster 4.5.11.0 2008.11.11 - weitere Informationen File size: 19456 bytes MD5...: b71bad15ed29340e40a99fef8f29a5c8 SHA1..: 9b8c66ac5c3aa35b610f3b152abcfa4c0855c9f8 SHA256: 655140a99646a518233cf805f70a8ade52012ede67eb553eb857b02004644522 SHA512: c927329ac658cd8d4ba952609f446c9687fac643c31c7b6126ce11bd811983a0 678aadfeb7fdea8d9a50f316a28cb2a2ff52c032d84dcc1e755a31bc6cbeb5e9 PEiD..: Armadillo v1.xx - v2.xx TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x36004171 timedatestamp.....: 0xb87cc61bL (invalid) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3ca2 0x3e00 6.34 a0e31b98456f4457f55b30e59af33f8f .data 0x5000 0x140 0x200 1.90 a9c47f21add80dd88f44de28f19e6a6d .rsrc 0x6000 0x2e0 0x400 2.33 c16e7450c25f0cb8eb66fd8de7a0ebca .reloc 0x7000 0x268 0x400 3.57 b92e0ec845a4707d5da5e959dbd2ca97 ( 5 imports ) > ADVAPI32.dll: GetUserNameA > USER32.dll: CharNextA, LoadStringA, wvsprintfA, CharLowerA > KERNEL32.dll: GetModuleFileNameW, lstrcpyW, SystemTimeToFileTime, GetFileTime, DisableThreadLibraryCalls, GetTickCount, GetVersionExA, VirtualFree, WaitForSingleObject, IsBadReadPtr, GetModuleFileNameA, InterlockedIncrement, lstrlenA, lstrlenW, InterlockedDecrement, GetStringTypeExA, GetThreadLocale, CloseHandle, ReadFile, GetFileSize, CreateFileA, GetCurrentProcess, GetProcAddress, GetModuleHandleA, GetComputerNameA, VirtualAlloc, WriteProcessMemory, VirtualAllocEx, LoadLibraryA, CreateRemoteThread, VirtualProtect, Sleep, MoveFileExA, GetVolumeInformationA, FindClose, FindFirstFileA, GetWindowsDirectoryA, FreeLibrary, CreateThread, FreeLibraryAndExitThread, GetSystemTime > WININET.dll: InternetCheckConnectionA, InternetOpenA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetQueryDataAvailable, InternetReadFile, InternetCloseHandle, InternetCanonicalizeUrlA, InternetCrackUrlA, InternetGetConnectedState > MSVCRT.dll: __2@YAPAXI@Z, realloc, __3@YAXPAX@Z, memset, _adjust_fdiv, malloc, _initterm, free, _except_handler3, memcpy ( 31 exports ) TSPI_lineAnswer, TSPI_lineClose, TSPI_lineDial, TSPI_lineDrop, TSPI_lineGetAddressCaps, TSPI_lineGetAddressID, TSPI_lineGetAddressStatus, TSPI_lineGetCallInfo, TSPI_lineGetCallStatus, TSPI_lineGetDevCaps, TSPI_lineGetDevConfig, TSPI_lineGetID, TSPI_lineGetIcon, TSPI_lineGetLineDevStatus, TSPI_lineGetNumAddressIDs, TSPI_lineMakeCall, TSPI_lineNegotiateTSPIVersion, TSPI_lineOpen, TSPI_lineSetAppSpecific, TSPI_lineSetDevConfig, TSPI_lineSetStatusMessages, TSPI_phoneNegotiateTSPIVersion, TSPI_providerEnumDevices, TSPI_providerGenericDialogData, TSPI_providerInit, TSPI_providerInstall, TSPI_providerShutdown, TSPI_providerUIIdentify, TUISPI_lineConfigDialog, TUISPI_lineConfigDialogEdit, TUISPI_providerInstall Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4ED8E751004DF9E34CA200BDBAE31F009A7CFF7A Ich bin für jede Hilfe dankbar, ich bin leider nicht so bewandert im Beseitigen von solchen Dingern... Vielen Dank im Voraus, Gruß Christian Betriebssystem: MS Windows XP SP3, Avira AntiVir, Windows Firewall, Spybot SD |
Themen zu TR/Hijack.AG.1 erkannt. Löschversuch mit AntiVir fehlgeschlagen. |
.dll, adobe, antivir, antivirus, avg, bho, computer, confused, excel, explorer, firefox, firewall, google, helfen, installation, internet, internet explorer, launch, mozilla, object, realtek, sekunden, software, system, temp, windows, windows xp, windows xp sp3, xp sp3 |