| |
| |||||||
Mülltonne: Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um HilfeWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
11.12.2008, 14:38
| #1 |
| |  Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe Wie bekomme ich den Trojaner Troj/ Agent - IJF von meinem Rechner wieder weg? Auch hat sich eine Adware names Arove auf meinem Rechner installiert, die will ich auch wegbekommen!!! Hier der Scan! Bitte um Tipps und Hilfestellung!! Vielen Dank! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:30:46, on 11.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20900) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINXP\system32\Ati2evxx.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\atiptaxx.exe C:\WINXP\VM_STI.EXE D:\iTunesHelper.exe C:\WINXP\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINXP\tmpie\iexplorer.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\Programme\Hama\Common\RaUI.exe C:\Programme\Philips\SPC 200NC PC Camera\TrayMin.exe C:\Programme\iPod\bin\iPodService.exe C:\WINXP\system32\regsvr32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\VnrBlock\VnrBlock21.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.www.daemon-search.com/default R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: adsoftinc browser enhancer - {F6F3DD8B-76E1-3DED-336B-CD5767EEAB0F} - C:\WINXP\system32\uqudhlqqfr.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINXP\VM_STI.EXE Philips SPC 200NC PC Camera O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunesHelper.exe" O4 - HKLM\..\Run: [iexplorer] C:\WINXP\tmpie\iexplorer.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SRS Audio Sandbox] D:\SRSSSC.exe /hideme O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [iexplorer] C:\WINXP\tmpie\iexplorer.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe O4 - Global Startup: TrayMin.lnk = ? O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe -- End of file - 6925 bytes  |
|
11.12.2008, 14:47
| #2 |
 | Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe Hallo ImperiumSter,
__________________( Ich sehe grade du hast am 9.12.08 schon einmal gepostet, wenn es sich um das gleiche Problem handelt, lass ein Post löschen. Siehe Regel/NUB: Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Erstelle dafür ein eigenes Thema um Verwirrung zu vermeiden. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.) _____________________________________________________________________________________ für folgende Äußerungen übernehme ich keine Verantwortung, der Nutzer handelt auf eigene Gefahr. Um eine genaue und hilfreiche Analyse anzufertigen, ist es notwendig, dass du nicht ins „Panik-Löschen“ verfällst, Ruhe bewahren und aufmerksam alle genannten Hilfestellungen, die du auch für sinnvoll hällst, befolgen. Wie gesagt alle Angaben sind nur Hilfestellung und können im schlimmsten Fall auch dein System komplett unbrauchbar machen, welches dann formatiert werden muss. Bei Systembefall kann man leicht und sicher via Live-CD (zB Ubuntu) seine wichtigen Daten sichern. Dazu muss man einen sauberen Datenträger haben. Keine ausführbaren Dateien wie .exe oder ähnliches sichern! Zusätzlich werde noch gesagt ein System, welches einmal infiziert ist, ist nicht mehr vertrauenswürdig, da nicht immer bekannt ist welchen Schadcode der Schädling wo reingeschrieben- oder welche Dateien er alle manipuliert hat. Zu erst wäre zu klären ob es ein Fehlalarm oder eine echte Infektion des Systems ist. Welches AV-Tool hat dir die Meldung ausgegeben, dass du diesen Trojaner auf deinem PC hast? Wenn möglich kompletten Fundbericht posten. Dein HJT-Log zeigt, meiner Meinung nach, folgende schädliche Einträge auf, die zuprüfen sind! C:\WINXP\tmpie\iexplorer.exe Die beschädigten Dateien ( C:\WINXP\tmpie\iexplorer.exe) bei Virustotal.com hochladen. Den Bericht dann hier posten. Grüße HiTTi Geändert von HiTTi (11.12.2008 um 15:05 Uhr) |
|
11.12.2008, 15:39
| #3 |
| | Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe Gesagt - Getan:
__________________Das Ergebnis sieht nicht gut aus ... . Wie soll ich da jetzt vorgehen?! Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.12.10.2 2008.12.11 - AntiVir 7.9.0.43 2008.12.11 HEUR/Malware Authentium 5.1.0.4 2008.12.11 W32/VB-Wird-based!Maximus Avast 4.8.1281.0 2008.12.10 - AVG 8.0.0.199 2008.12.11 - BitDefender 7.2 2008.12.11 - CAT-QuickHeal 10.00 2008.12.11 - ClamAV 0.94.1 2008.12.11 - Comodo 733 2008.12.11 - DrWeb 4.44.0.09170 2008.12.11 BACKDOOR.Trojan eSafe 7.0.17.0 2008.12.10 - eTrust-Vet 31.6.6256 2008.12.11 - Ewido 4.0 2008.12.11 - F-Prot 4.4.4.56 2008.12.10 W32/VB-Wird-based!Maximus F-Secure 8.0.14332.0 2008.12.11 - Fortinet 3.117.0.0 2008.12.10 - GData 19 2008.12.11 - Ikarus T3.1.1.45.0 2008.12.11 - K7AntiVirus 7.10.551 2008.12.11 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2008.12.11 - McAfee 5460 2008.12.10 - McAfee+Artemis 5460 2008.12.10 - Microsoft 1.4205 2008.12.10 - NOD32 3683 2008.12.11 probably unknown NewHeur_PE Norman 5.80.02 2008.12.11 W32/Smalldoor.CZJN Panda 9.0.0.4 2008.12.10 - PCTools 4.4.2.0 2008.12.11 - Prevx1 V2 2008.12.11 - Rising 21.07.32.00 2008.12.11 - SecureWeb-Gateway 6.7.6 2008.12.11 Heuristic.Malware Sophos 4.36.0 2008.12.11 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.11 Backdoor.Trojan TheHacker 6.3.1.2.183 2008.12.11 - TrendMicro 8.700.0.1004 2008.12.11 - VBA32 3.12.8.10 2008.12.11 - ViRobot 2008.12.11.1513 2008.12.11 - VirusBuster 4.5.11.0 2008.12.11 - weitere Informationen File size: 147456 bytes MD5...: dc2fd07b7cfbb3531488420448f14ecb SHA1..: 5793709e307be30007a67c21dd338c6e5db2c139 SHA256: baa69c2f1db91144f5c7e4a8c87dfea67a3b61c4fa2585e890a0b843f12db5aa SHA512: 88870a7b873b0b6dec8e48e97653bd2ad92a78ce08a2ebfaefd9c81511dfc285 9c6661547bf7c1460d889d59bf03369cbf0e659cc505dd233979268adf32fe5a ssdeep: 3072:iETsOsELCUfOFuOF3Tu5fy4pI+uvYNaI2CIh5uz:i7UoFuYjkaIknu PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (75.0%) Win32 Executable Generic (16.9%) Generic Win/DOS Executable (3.9%) DOS Executable Generic (3.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4023ec timedatestamp.....: 0x493b41d6 (Sun Dec 07 03:24:06 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x204a8 0x21000 5.79 22cc053912590d5e47dddbf45887c1bd .data 0x22000 0x1804 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x24000 0x8a0 0x1000 1.88 50854716eab02a1a100cf027b92cca5a ( 1 imports ) > MSVBVM60.DLL: EVENT_SINK_GetIDsOfNames, __vbaVarSub, __vbaVarTstGt, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaAryMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaLateIdCall, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, EVENT_SINK_Invoke, __vbaRaiseEvent, __vbaNextEachVar, __vbaFreeObjList, _adj_fprem1, __vbaRecAnsiToUni, __vbaVarSetVarAddref, -, __vbaCopyBytes, __vbaVarCmpNe, __vbaStrCat, __vbaError, __vbaWriteFile, __vbaLsetFixstr, __vbaRecDestruct, -, __vbaSetSystemError, __vbaHresultCheckObj, -, __vbaLenVar, -, _adj_fdiv_m32, __vbaVarTstLe, __vbaAryVar, Zombie_GetTypeInfo, __vbaVarCmpGe, __vbaAryDestruct, __vbaVarIndexLoadRefLock, EVENT_SINK2_Release, __vbaForEachCollObj, __vbaExitProc, -, __vbaVarForInit, -, -, -, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, -, -, __vbaFpR4, __vbaBoolVar, -, -, -, __vbaVarTstLt, __vbaRefVarAry, __vbaBoolVarNull, _CIsin, __vbaErase, -, __vbaLateMemStAd, __vbaNextEachCollObj, __vbaVarZero, __vbaVargVarMove, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaExitEachColl, -, __vbaStrCmp, __vbaVarTstEq, __vbaAryConstruct2, __vbaI2I4, -, DllFunctionCall, __vbaCastObjVar, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaLateIdCallLd, Zombie_GetTypeInfoCount, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, __vbaUI1I2, _CIsqrt, __vbaObjIs, __vbaVarAnd, -, EVENT_SINK_QueryInterface, __vbaStrUI1, __vbaUI1I4, __vbaExceptHandler, -, -, -, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, -, __vbaInStrVar, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, __vbaI2Var, __vbaLsetFixstrFree, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaVar2Vec, -, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, EVENT_SINK2_AddRef, -, __vbaVarCmpLt, __vbaFreeStrList, _adj_fdivr_m32, __vbaR8Var, _adj_fdiv_r, -, -, __vbaVarTstNe, __vbaVarSetVar, __vbaI4Var, __vbaVarCmpEq, __vbaLateMemCall, __vbaVarAdd, __vbaAryLock, -, __vbaVarDup, __vbaStrToAnsi, -, -, -, __vbaFpI2, __vbaFpI4, __vbaVarLateMemCallLd, -, __vbaVarCopy, __vbaVarTstGe, __vbaRecDestructAnsi, __vbaVarSetObjAddref, -, _CIatan, __vbaUI1Str, __vbaCastObj, __vbaStrMove, __vbaAryCopy, -, __vbaForEachVar, __vbaStrVarCopy, __vbaVarNeg, _allmul, __vbaLateIdSt, _CItan, -, __vbaFPInt, __vbaAryUnlock, __vbaVarForNext, _CIexp, __vbaMidStmtBstr, __vbaFreeObj, __vbaFreeStr, - ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dc2fd07b7cfbb3531488420448f14ecb' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dc2fd07b7cfbb3531488420448f14ecb</a> |
|
11.12.2008, 15:57
| #4 |
| /// AVZ-Toolkit Guru   | Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe Halli hallo. CureIT Dr.Web
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
| Themen zu Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe |
| adobe, adware, bho, bitte um hilfe, bonjour, browser, ellung, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, lan, microsoft, mozilla, object, programme, scan, software, system, trojaner, wieder weg, windows, windows xp, windows xp sp3, wireless lan, xp sp3 |
Linear-Darstellung
