|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.44592, TR/Agent.ITJ und TR/Renaz.12208Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.01.2009, 22:25 | #1 |
| TR/Agent.44592, TR/Agent.ITJ und TR/Renaz.12208 Hallo, mir ist etwas komisches passiert. ich habe eine datei mit antivir auf ihre sauberkeit überprüfen lassen. gleich danach hatte ich eine virus meldung, weshalb ich daraufhin den "neuen" notebook scannen ließ. er fand 3 trojaner. da google nicht weiterhalf wende ich mich mit letzter hoffnung an euch. antivir scan: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 19. Jänner 2009 21:38 Es wird nach 1224506 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: Penz Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23 AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06 LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 23:47:55 ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14.01.2009 23:47:56 ANTIVIR3.VDF : 7.1.1.137 304128 Bytes 18.01.2009 23:47:57 Engineversion : 8.2.0.57 AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56 AESCRIPT.DLL : 8.1.1.26 340347 Bytes 18.01.2009 23:48:02 AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41 AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38 AEPACK.DLL : 8.1.3.5 393588 Bytes 18.01.2009 23:48:01 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 18.01.2009 23:48:01 AEHEUR.DLL : 8.1.0.84 1540471 Bytes 18.01.2009 23:48:00 AEHELP.DLL : 8.1.2.0 119159 Bytes 18.01.2009 23:47:58 AEGEN.DLL : 8.1.1.10 323957 Bytes 18.01.2009 23:47:58 AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56 AECORE.DLL : 8.1.5.2 172405 Bytes 18.01.2009 23:47:57 AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15 AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 19. Jänner 2009 21:38 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ObjectDock.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '34' Prozesse mit '34' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '56' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{F2B6878A-C05E-4E90-A285-A291FD2654ED}\RP17\A0005891.exe [FUND] Ist das Trojanische Pferd TR/Agent.44592 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a4e845.qua' verschoben! C:\System Volume Information\_restore{F2B6878A-C05E-4E90-A285-A291FD2654ED}\RP17\A0005892.exe [FUND] Ist das Trojanische Pferd TR/Agent.ITJ [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a4e893.qua' verschoben! C:\System Volume Information\_restore{F2B6878A-C05E-4E90-A285-A291FD2654ED}\RP17\A0005893.exe [FUND] Ist das Trojanische Pferd TR/Renaz.12208 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a4e8b3.qua' verschoben! Ende des Suchlaufs: Montag, 19. Jänner 2009 22:06 Benötigte Zeit: 28:01 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 2518 Verzeichnisse wurden überprüft 148146 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 148142 Dateien ohne Befall 1689 Archive wurden durchsucht 1 Warnungen 3 Hinweise HiJackThis scan: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:21:29, on 19.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=about:blank O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 5551 bytes es wäre echt super nett von euch wenn ihr mir weiterhelfen könnt grüße |
20.01.2009, 13:43 | #2 |
| TR/Agent.44592, TR/Agent.ITJ und TR/Renaz.12208-------------------------------------------------------------------------------------------------------------------------------------- Deaktiviere die Systemwiederherstellung!, da es im Verlauf der Infektion sein kann dass der Virus, Malware, Trojaner etc. sich in den Wiederherstellungspunkte einnistet.Punkt 1 -------------------------------------------------------------------------------------------------------------------------------------- Deshalb sind sie nun unbrauchbar und würden beim zurücksetzen des PC's über einen der "infizierten" Wiederherstellungspunkte deinen Computer wieder infizieren. -------------------------------------------------------------------------------------------------------------------------------------- Bevor mit der Reinigung begonnen werden kann deinstalliere! bitte alle Toolbars für den Firefox und den Internet Explorer.Punkt 2 -------------------------------------------------------------------------------------------------------------------------------------- Spyware-Jäger wie Spybot S&D, Spyware Doctor, a-squared free Zone Alarm, eScan und Ad-Aware etc… kann man getrost deinstallieren! Solltest du 2 oder mehrere Antiviren Software's installiert haben deinstalliere sie ! Viele behindern sich dadurch nur selbst. Unser Tipp ! Avira Antivir Falls du eine Software Firewall wie Zone Alarm oder Comodo Firewall installiert hast, bitte auch entfernen da die Windows eigene Firewall und die deines Routers reicht. Meist haben Security Suites wie Kaspersky Internet Security eine Firewall on Board -------------------------------------------------------------------------------------------------------------------------------------- Punkt 3 -------------------------------------------------------------------------------------------------------------------------------------- Lade dir CCleaner herunter und führe ihn wie in der Anleitung Sachgemäß! aus. (Haken bei Prefetch Ordner leeren wegmachen ) -------------------------------------------------------------------------------------------------------------------------------------- Punkt 4 -------------------------------------------------------------------------------------------------------------------------------------- Führe einen Scan mit Deinem Antiviren-Scanner durch (Kaspersky - Avira - Panda etc.). Bitte poste den Scanlog auch wenn kein Fund verzeichnet ist. -------------------------------------------------------------------------------------------------------------------------------------- Punkt 5 -------------------------------------------------------------------------------------------------------------------------------------- Führe nun einen Scan mit Malwarebytes Anti-Malware und Blacklight durch. Bitte poste auch den Scanlog wie in Punkt 4 ! -------------------------------------------------------------------------------------------------------------------------------------- Punkt 6 -------------------------------------------------------------------------------------------------------------------------------------- Solltest du Jeden! Punkt nacheinander durchgeführt haben. Erstelle bitte einen neuen HiJackThis-Log und poste ihn auch wie in Punkt 4. Anmerkung ! Ein besonderst gutes Ergebniss kann man erzielen wenn du das aktuellste Service Pack für den XP ( SP3) oder für Vista (SP1) installiert hast. Wir empfehlen auch den Internet Explorer auf die Version (7) zu updaten! Auch wenn du ihn nicht benutzt.! |
Themen zu TR/Agent.44592, TR/Agent.ITJ und TR/Renaz.12208 |
.dll, administrator, adobe, antivir, antivirus, avg, avgnt.exe, bho, desktop, einstellungen, excel, google, google update, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logon.exe, nt.dll, prozesse, registry, scan, sched.exe, services.exe, skype.exe, software, suchlauf, super, svchost.exe, verweise, virus, virus gefunden, virus meldung, warnung, windows, winlogon.exe |