![]() |
|
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.aqfwWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() TR/Dldr.Agent.aqfw Hallo liebe Forumsnutzer, hatte in den letzten 2 Tagen damit zu kämpfne, dass sich mein Soundkartentreiber regelmäßig deinstallierte. Die Prüfung mit Antivir zeigte, dass mein Rechner mit dem Trojaner TR/Dldr.Agent.aqfw befallen war. Diese und eine Datei Namens kinbl.dll ließ ich in den Quarantäne-Ordner verschieben, dann löschte ich sie. Anschließend ließ ich noch e-Scan laufen, das log sieht wie folgt aus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 10.0.36 Sprache: German C:\DOKUME~1\MXXX~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v131\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\dell\drivers\R171789\HDAQFE\win2k3\jpn\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\dell\drivers\R171789\HDAQFE\win2k3\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei E:\dell\drivers\R171789\HDAQFE\win2k_xp\us\qfe.exe infiziert durch den Virus "Exe.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\gdiplus.dll ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... Objekt "NULLBYTE Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. System found infected with personalantispy Corrupted Adware/Spyware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Maßnahme ergriffen. System found infected with combo Spyware/Adware (hklm\software\microsoft\windows\currentversion\run/kernelfaultcheck)! Action taken: Keine Maßnahme ergriffen. System found infected with personalantispy Corrupted Adware/Spyware (hklm\software\microsoft\internet explorer\urlsearchhooks)! Action taken: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\core\". Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500aae-91e2-11dd-b8d4-0019b97af136} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0d500ab0-91e2-11dd-b8d4-0019b97af136} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bd92fe10-0f8f-11dd-b7ba-0019b97af136} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - EvtEng.exe - C:\Programme\Intel\Wireless\Bin\EvtEng.exe S24EvMon.exe - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe WLKEEPER.exe - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe svchost.exe - svchost.exe - spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe scardsvr.exe - avguard.exe - "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" explorer.exe - C:\WINDOWS\Explorer.EXE Apoint.exe - "C:\Programme\Apoint\Apoint.exe" rundll32.exe - "C:\WINDOWS\system32\rundll32.exe" nvHotkey.dll,Start rundll32.exe - "C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit ZCfgSvc.exe - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" iFrmewrk.exe - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless hidfind.exe - "C:\Programme\Apoint\HidFind.exe" ApntEx.exe - "Apntex.exe" jusched.exe - "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" quickset.exe - "C:\Programme\Dell\QuickSet\Quickset.exe" stsystra.exe - "C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" avgnt.exe - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min sched.exe - "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" iTunesHelper.exe - "D:\Programme\iTunes\iTunesHelper.exe" ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe" AppleMobileDeviceService.exe - "C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe" mDNSResponder.exe - C:\Programme\Bonjour\mDNSResponder.exe TeaTimer.exe - "D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" cvpnd.exe - "D:\Programme\VPN Client\cvpnd.exe" NicConfigSvc.exe - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe nvsvc32.exe - C:\WINDOWS\system32\nvsvc32.exe RegSrvc.exe - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe svchost.exe - C:\WINDOWS\System32\svchost.exe -k imgsvc wdfmgr.exe - alg.exe - iPodService.exe - C:\Programme\iPod\bin\iPodService.exe Dot1XCfg.exe - "C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe" -Embedding firefox.exe - "D:\Programme\Mozilla Firefox\firefox.exe" svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Maha Deva\Desktop\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\profos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Profos. Action Taken: No Action Taken. ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIM. Action Taken: No Action Taken. ERROR!!! Invalid Entry system32\DRIVERS\SymIM.sys in HKLM\SYSTEM\CurrentControlSet\Services\SymIMMP. Action Taken: No Action Taken. ERROR!!! Invalid Entry \??\C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Threat Scanner\trufos.sys in HKLM\SYSTEM\CurrentControlSet\Services\Trufos. Action Taken: No Action Taken. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES\". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF\". Maßnahme ergriffen: Keine Maßnahme ergriffen. ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.0.2.20\iTunes.msi ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Mozilla\Firefox\Profiles\erfmscaf.default\places.sqlite-journal ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Famiglia ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Inbox.sbd\Job ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Sent ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Anwendungsdaten\Thunderbird\Profiles\1ggxwq50.default\Mail\pop.googlemail.com\Trash ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\Lokale Einstellungen\Temp\etilqs_KQidn2UBP9TF1nmJPSbI ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\Maha Deva\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG ERROR(3)!!! ScanFile fails for C:\pagefile.sys ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004539.exe ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP2\A0004541.exe ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004961.msi ERROR(3)!!! ScanFile fails for C:\System Volume Information\_restore{452D2CB8-FB0E-448F-B841-5273172D936E}\RP3\A0004962.exe ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system ERROR(3)!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG ERROR(3)!!! ScanFile fails for E:\Workshop Bochum Juli\Artikel um Workshop\Indications for Intentional Deposition of Pottery in Chaleh Ghar Mine 1.docx ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 279447 Zahl der kritischen Objekte: 10 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Dateien: 0 Zahl der gelöschten Objekte: 0 Zahl der Fehler: 101 Zeit verstrichen: 00:23:49 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Überprüfung der Registrierungsdatenbank: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Die Überprüfung der Ordner: Deaktiviert Batchstart: 23:25:52,43 Batchende: 23:25:57,59 Meine nächsten Aktionen wäre das Deinstallieren und Löschen der infizierten Treiber auf C: und E: Habt ihr noch weitere Tipps, was ich machen sollte? Könnte das Sicherheitsupdate "GDIPLUS.DLL" für .NET Framework 1.1 sinvoll sein? Vielen Dank und viele Grüße, Saurva |
Themen zu TR/Dldr.Agent.aqfw |
1.exe, adware, antivir, bonjour, c:\windows\system32\rundll32.exe, computer, dateisystem, defender, desktop, einstellungen, exe.corrupted, explorer, fehlalarm, fehler, infiziert, internet, internet explorer, internet security, logon.exe, maßnahme, mozilla, programme, prozesse, registrierungsdatenbank, security, security suite, software, spyware, system, temp, trojaner, virus, windows, windows xp |