|
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.aqfwWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.12.2008, 23:50 | #1 |
| TR/Dldr.Agent.aqfw Hallo liebe Forumsnutzer, hatte in den letzten 2 Tagen damit zu kämpfne, dass sich mein Soundkartentreiber regelmäßig deinstallierte. Die Prüfung mit Antivir zeigte, dass mein Rechner mit dem Trojaner TR/Dldr.Agent.aqfw befallen war. Diese und eine Datei Namens kinbl.dll ließ ich in den Quarantäne-Ordner verschieben, dann löschte ich sie. Anschließend ließ ich noch e-Scan laufen, das log sieht wie folgt aus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 10.0.36 Sprache: German C:\DOKUME~1\MXXX~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\dell\drivers\R171789\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\dell\drivers\R171789\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\dell\drivers\R171789\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\gdiplus.dll ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. System found infected with personalantispy Corrupted Adware/Spyware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/kernelfaultcheck)! Action taken: Keine Maßnahme ergriffen. System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\core\". Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500aae-91e2-11dd-b8d4-0019b97af136} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500ab0-91e2-11dd-b8d4-0019b97af136} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd92fe10-0f8f-11dd-b7ba-0019b97af136} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - EvtEng.exe - C:\Programme\Intel\Wireless\Bin\EvtEng.exe S24EvMon.exe - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe WLKEEPER.exe - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe svchost.exe - svchost.exe - spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe scardsvr.exe - avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" explorer.exe - C:\WINDOWS\Explorer.EXE Apoint.exe - "C:\Programme\Apoint\Apoint.exe" rundll32.exe - "C:\WINDOWS\system32\rundll32.exe" nvHotkey.dll,Start rundll32.exe - "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit ZCfgSvc.exe - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" iFrmewrk.exe - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless hidfind.exe - "C:\Programme\Apoint\HidFind.exe" ApntEx.exe - "Apntex.exe" jusched.exe - "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" quickset.exe - "C:\Programme\Dell\QuickSet\Quickset.exe" stsystra.exe - "C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" iTunesHelper.exe - "D:\Programme\iTunes\iTunesHelper.exe" ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe" AppleMobileDeviceService.exe - "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe" mDNSResponder.exe - C:\Programme\Bonjour\mDNSResponder.exe TeaTimer.exe - "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" cvpnd.exe - "D:\Programme\VPN Client\cvpnd.exe" NicConfigSvc.exe - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe nvsvc32.exe - C:\WINDOWS\system32\nvsvc32.exe RegSrvc.exe - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe svchost.exe - C:\WINDOWS\System32\svchost.exe -k imgsvc wdfmgr.exe - alg.exe - iPodService.exe - C:\Programme\iPod\bin\iPodService.exe Dot1XCfg.exe - "C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe" -Embedding firefox.exe - "D:\Programme\Mozilla Firefox\firefox.exe" svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Maha Deva\Desktop\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Profos. Action Taken: No Action Taken. ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIM. Action Taken: No Action Taken. ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIMMP. Action Taken: No Action Taken. ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Trufos. Action Taken: No Action Taken. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\". Maßnahme ergriffen: Keine Maßnahme ergriffen. ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.0.2.20\iTunes.msi ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Mozilla\Firefox\Profiles\erfmscaf.default\places.sqlite-journal ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Famiglia ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Job ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Sent ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Trash ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\etilqs_KQidn2UBP9TF1nmJPSbI ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\pagefile.sys ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004539.exe ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004541.exe ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004961.msi ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004962.exe ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG ERROR(3)!!! ScanFile fails for E:\Workshop Bochum Juli\Artikel um Workshop\Indications for Intentional Deposition of Pottery in Chaleh Ghar Mine 1.docx ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 279447 Zahl der kritischen Objekte: 10 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Dateien: 0 Zahl der gelöschten Objekte: 0 Zahl der Fehler: 101 Zeit verstrichen: 00:23:49 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Überprüfung der Registrierungsdatenbank: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Die Überprüfung der Ordner: Deaktiviert Batchstart: 23:25:52,43 Batchende: 23:25:57,59 Meine nächsten Aktionen wäre das Deinstallieren und Löschen der infizierten Treiber auf C: und E: Habt ihr noch weitere Tipps, was ich machen sollte? Könnte das Sicherheitsupdate "GDIPLUS.DLL" für .NET Framework 1.1 sinvoll sein? Vielen Dank und viele Grüße, Saurva |
02.12.2008, 00:16 | #2 |
| HijackThis spuckt folgendes aus: Logfile of Trend Micro HijackThis v2.0.2
__________________Scan saved at 00:13:36, on 02.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Apoint\HidFind.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Dell\QuickSet\Quickset.exe C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\VPN Client\cvpnd.exe C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe D:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\RootkitRevealer\RootkitRevealer.exe C:\DOKUME~1\MAHADE~1\LOKALE~1\Temp\WXTOJVSWC.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\VPN Client\vpngui.exe O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\VPN Client\cvpnd.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe O23 - Service: WXTOJVSWC - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\MAHADE~1\LOKALE~1\Temp\WXTOJVSWC.exe -- End of file - 8896 bytes Geändert von Saurva (02.12.2008 um 00:23 Uhr) |
02.12.2008, 12:48 | #3 |
| Suchlauf nach RootKits unter Avira Ich habe mit Antivir einen Suchlauf nach Rootkits durchgeführt, folgende Warnungen wurden ausgespuckt:
__________________Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 2. Dezember 2008 09:49 Es wird nach 1062138 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: M* Computername: N* Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 14:49:58 AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 13:13:11 LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 13:13:11 LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 13:13:11 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:24:46 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 08:32:03 ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 10:01:47 ANTIVIR3.VDF : 7.1.0.164 25600 Bytes 01.12.2008 10:01:47 Engineversion : 8.2.0.36 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 18:48:18 AESCRIPT.DLL : 8.1.1.15 332156 Bytes 13.11.2008 14:54:16 AESCN.DLL : 8.1.1.5 123251 Bytes 09.11.2008 09:03:53 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 19:21:22 AEPACK.DLL : 8.1.3.4 393591 Bytes 13.11.2008 14:54:16 AEOFFICE.DLL : 8.1.0.30 196986 Bytes 09.11.2008 09:03:52 AEHEUR.DLL : 8.1.0.71 1487222 Bytes 09.11.2008 09:03:52 AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 18:20:37 AEGEN.DLL : 8.1.1.6 323955 Bytes 29.11.2008 10:01:38 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 18:48:11 AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 10:01:37 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 18:48:10 AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 13:13:11 AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 13:13:11 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 13:09:36 AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 13:13:11 AVARKT.DLL : 1.0.0.23 307457 Bytes 16.04.2008 22:05:49 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 13:13:11 SQLITE3.DLL : 3.3.17.1 339968 Bytes 16.04.2008 22:05:49 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 13:13:11 NETNT.DLL : 8.0.0.1 7937 Bytes 16.04.2008 22:05:49 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 13:13:08 RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 13:13:08 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Suche nach Rootkits Konfigurationsdatei..............: c:\programme\antivir personaledition classic\rootkit.avp Protokollierung..................: hoch Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Durchsuche aktive Programme......: aus Durchsuche Registrierung.........: aus Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Erweiterte Sucheinstellungen.....: 0x00300922 Beginn des Suchlaufs: Dienstag, 2. Dezember 2008 09:49 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\Software\DeterministicNetworks\DNE\Parameters\symboliclinkvalue [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '530267' Objekte überprüft, '2' versteckte Objekte wurden gefunden. Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:' C:\ 23990098.$$$ AUTOEXEC.BAT boot.ini bootfont.bin caisslog.txt CONFIG.SYS CTX.DAT IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\ UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\M*\ NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! parent.lock [WARNUNG] Die Datei konnte nicht geöffnet werden! permissions.sqlite places.sqlite places.sqlite-journal [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\ UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! esupdate.exe [0] Archivtyp: Runtime Packed --> Object etilqs_4RGN3rMsj02mylGxuIwZ etilqs_cJoZTDhJ8udL0rYOJyS3 [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Temp\hsperfdata_M*\ 3224 [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\M*\Lokale Einstellungen\Temp\grass6--3372\ gisrc [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! ntuser.ini C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel\Wireless\Settings\ Settings.ini C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Intel\Wireless\WLANProfiles\ Profiles.enc C:\Dokumente und Einstellungen\NetworkService\Cookies\ index.dat C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\ desktop.ini C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\ UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\ [WARNUNG] Systemfehler [5]: Zugriff verweigert C:\WINDOWS\system32\config\ Antiviru.evt Antivirus.Evt AppEvent.Evt default [WARNUNG] Die Datei konnte nicht geöffnet werden! default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! default.sav ODiag.evt OSession.evt SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! SecEvent.Evt SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! software [WARNUNG] Die Datei konnte nicht geöffnet werden! software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! software.sav SysEvent.Evt system [WARNUNG] Die Datei konnte nicht geöffnet werden! system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\ dneinst.log install.exe kds.xml libFNP_events.log libFNP_events.log.bak Perflib_Perfdata_1d0.dat Perflib_Perfdata_33c.dat Perflib_Perfdata_7b0.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! PQ_DEBUG.TXT System.EnterpriseServices.dll System.EnterpriseServices.Wrapper.dll Ende des Suchlaufs: Dienstag, 2. Dezember 2008 10:16 Benötigte Zeit: 26:54 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6258 Verzeichnisse wurden überprüft 265666 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 28 Dateien konnten nicht durchsucht werden 265638 Dateien ohne Befall 8722 Archive wurden durchsucht 29 Warnungen 0 Hinweise 530267 Objekte wurden beim Rootkitscan durchsucht 2 Versteckte Objekte wurden gefunden |
Themen zu TR/Dldr.Agent.aqfw |
1.exe, adware, antivir, bonjour, c:\windows\system32\rundll32.exe, computer, dateisystem, defender, desktop, einstellungen, exe.corrupted, explorer, fehlalarm, fehler, infiziert, internet, internet explorer, internet security, logon.exe, maßnahme, mozilla, programme, prozesse, registrierungsdatenbank, security, security suite, software, spyware, system, temp, trojaner, virus, windows, windows xp |