TR/Dldr.Agent.aqfw

Saurva

Hallo liebe Forumsnutzer,
hatte in den letzten 2 Tagen damit zu kämpfne, dass sich mein Soundkartentreiber regelmäßig deinstallierte.
Die Prüfung mit Antivir zeigte, dass mein Rechner mit dem Trojaner TR/Dldr.Agent.aqfw befallen war. Diese und eine Datei Namens kinbl.dll ließ ich in den Quarantäne-Ordner verschieben, dann löschte ich sie.
Anschließend ließ ich noch e-Scan laufen, das log sieht wie folgt aus:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 10.0.36
Sprache: German
C:\DOKUME~1\MXXX~1\LOKALE~1\Temp\MWAV.LOG



~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei E:\dell\drivers\R171789\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
System found infected with personalantispy Corrupted Adware/Spyware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Maßnahme ergriffen.
System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/kernelfaultcheck)! Action taken: Keine Maßnahme ergriffen.
System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\core\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500aae-91e2-11dd-b8d4-0019b97af136} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500ab0-91e2-11dd-b8d4-0019b97af136} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd92fe10-0f8f-11dd-b7ba-0019b97af136} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe -
EvtEng.exe - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
S24EvMon.exe - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
WLKEEPER.exe - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
svchost.exe -
svchost.exe -
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
scardsvr.exe -
avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"
explorer.exe - C:\WINDOWS\Explorer.EXE
Apoint.exe - "C:\Programme\Apoint\Apoint.exe"
rundll32.exe - "C:\WINDOWS\system32\rundll32.exe" nvHotkey.dll,Start
rundll32.exe - "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
ZCfgSvc.exe - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
iFrmewrk.exe - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
hidfind.exe - "C:\Programme\Apoint\HidFind.exe"
ApntEx.exe - "Apntex.exe"
jusched.exe - "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
quickset.exe - "C:\Programme\Dell\QuickSet\Quickset.exe"
stsystra.exe - "C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe"
avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe"
iTunesHelper.exe - "D:\Programme\iTunes\iTunesHelper.exe"
ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe"
AppleMobileDeviceService.exe - "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
mDNSResponder.exe - C:\Programme\Bonjour\mDNSResponder.exe
TeaTimer.exe - "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
cvpnd.exe - "D:\Programme\VPN Client\cvpnd.exe"
NicConfigSvc.exe - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
nvsvc32.exe - C:\WINDOWS\system32\nvsvc32.exe
RegSrvc.exe - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
svchost.exe - C:\WINDOWS\System32\svchost.exe -k imgsvc
wdfmgr.exe -
alg.exe -
iPodService.exe - C:\Programme\iPod\bin\iPodService.exe
Dot1XCfg.exe - "C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe" -Embedding
firefox.exe - "D:\Programme\Mozilla Firefox\firefox.exe"
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Maha Deva\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
wmiprvse.exe -
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Profos. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIM. Action Taken: No Action Taken.
ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIMMP. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Trufos. Action Taken: No Action Taken.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.0.2.20\iTunes.msi
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Mozilla\Firefox\Profiles\erfmscaf.default\places.sqlite-journal
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Famiglia
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Job
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Sent
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Trash
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\etilqs_KQidn2UBP9TF1nmJPSbI
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
ERROR(3)!!! ScanFile fails for C:\pagefile.sys
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004539.exe
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004541.exe
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004961.msi
ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004962.exe
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system
ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG
ERROR(3)!!! ScanFile fails for E:\Workshop Bochum Juli\Artikel um Workshop\Indications for Intentional Deposition of Pottery in Chaleh Ghar Mine 1.docx
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zahl der gescannten Objekte: 279447
Zahl der kritischen Objekte: 10
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Dateien: 0
Zahl der gelöschten Objekte: 0
Zahl der Fehler: 101
Zeit verstrichen: 00:23:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Die Überprüfung der Ordner: Deaktiviert

Batchstart: 23:25:52,43
Batchende: 23:25:57,59

Meine nächsten Aktionen wäre das Deinstallieren und Löschen der infizierten Treiber auf C: und E:
Habt ihr noch weitere Tipps, was ich machen sollte?
Könnte das Sicherheitsupdate "GDIPLUS.DLL" für .NET Framework 1.1
sinvoll sein?

Vielen Dank und viele Grüße,

Saurva