|
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.01.2009, 18:07 | #1 |
| Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. Hallo an alle Ich wars bisher gewöhnt das sich jeder Virus oder sonstiges einfach mit Anti Vir entfernen lies, doch seid 2 Tagen hab ich nun wenn ich die Fallout-3 DVD (Ja, Original, ich hab das Spiel seid 2-3 Monaten und das is das erste mal das das kommt) anklicke bzw. autostarte, das mein Anti-Vir die Meldung gibt, ich hätte den Trojaner TR/Agent.375992.B auf dem Rechner. Sobald diese Meldungen (ich bekomm immer gleichzeitig 2-3) erscheinen, erstellt es in meinem Benutzer Ordner unter AppData/Local/Temp die Datei "CmdLineExtInstallerExe.exe". Sobald ich diese Probeweise rechts anklicken will, schmiert der Explorer ab und sagt "ich hätte keine Befugnis für diese Datei". Komplettscan mit Antivir durchgeführt (auch im Abgesicherten Modus) zeigt jedoch keinerlei Spur eines Trojaners an. Diese Meldung poppt bisher nur auf, wenn ich eben Fallout 3 einlege bzw. den Launcher öffne (wenn ich das spiel nur per exe starte ohne launcher kommt nix). Sobald ich die Datei mit Antivir lösche, verschwindet sie wieder. Ich kenn mich leider nich aus, is diese "CmdLineExtInstallerExe.exe" vlt. nur der Öffnungsvorgang für den launcher oder so? Hat Anti Vir evtl. nur nach nem Update ne Macke und spinnt obwohl nix is? Ich geb mal die hijackthis.log an: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:51:25, on 27.01.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe C:\Program Files (x86)\ASUS\EPU-6 Engine\SixEngine.exe C:\Program Files (x86)\ICQ6\ICQ.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Program Files (x86)\RALINK\Common\RaUI.exe C:\Program Files (x86)\Winamp\winampa.exe C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Ad-Watch] "C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files (x86)\RALINK\Common\RaUI.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6\ICQ.exe O13 - Gopher Prefix: O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing) O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: TabletServicePen - Unknown owner - C:\Windows\system32\Pen_Tablet.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 7712 bytes Hoffe mir kann wer helfen. |
28.01.2009, 09:39 | #2 |
| Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. hi... hab genau dasselbe problem.
__________________(Win XP Prof) allerdings ist mir aufgefallen das die datei sowie der trojaner nur auftauchen wenn man das spiel über den "FalloutLauncher.exe" startet. wenn man "Fallout3ng.exe" startet kommt keine meldung. letzendlich ist das aber keine Lösung für das Problem. Möchte auch gerne wissen ob es sich daher um einen Fehlalarm handelt oder nicht. Ich hab in einem anderen Forum gelesen das diese Meldung erst seit neustem aufgetaucht ist... Alsovorher konnte das Spiel ohne Warnmeldung von Antivir gestartet werden... Soviel Input erstmal dazu. Ich hoffe jemand bringt mehr Informationen und eine Lösung? Danke im vorraus! |
28.01.2009, 16:41 | #3 |
| Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. Ich denk wenn ich nich der einzige bin, spinnt Anti Vir durch ein neues Update einfach nur... trotzdem wär ich auch für weitere Klarheit dankbar
__________________ |
28.01.2009, 19:01 | #4 |
| Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. hab grad festgestellt... nachdem ich fallout gepatched habe (ich glaub v1.1 oder so) kommt keine meldung mehr. also wenn ich den launcher lade... komisch... gehe daher auch von nem falschen alarm aus oder so... naja... ma kucken^^ |
20.02.2009, 12:29 | #5 |
| Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. Hab das selbe Problem. Heute morgen den Rechner gestartet und AntiVir poppt auf und meldet das der falloutlauncher.exe mit dem TR/Agent.bqpu infiziert ist (auch gleich ganz oft...) Aber ohne das ich das Spiel starte und ohne das ich die DVD einlege (Original) Komischerweise hab ich nichtmal in der letzten Zeit Fallout gespielt, schon seit Wochen nicht mehr. Darum denke (hoffe) ich das es nicht an einem Update von Fallout liegen kann - das Game wird sich ja wohl kaum patchen ohne das man es startet? Wenn ich die Datei bei Virustotal scannen will bekomm ich den bekannten 0byte Fehler. Eine Gehlmeldung durch ein Update von AntiVir wäre schön... =) Weiss jemand mehr? |
20.02.2009, 13:45 | #6 |
| Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. ja wie gesagt... hatte fallout gepatched und der fehler tritt nicht mehr auf. weiss auch nich was das war. gehe mal von nem fehlalarm aus... hüstel... hoffe ich echt...^^ |
Themen zu Trojaner TR/Agent.375992.B erscheint nach dem löschen wieder. |
abgesicherten modus, ad-aware, ad-watch, adobe, antivir, antivirus, avg, avira, bho, desktop, entfernen, erste mal, explorer, firefox, hijack, internet, internet explorer, logfile, löschen, mozilla, mozilla thunderbird, rundll, scan, senden, software, trojaner, virus, vista, windows, windows sidebar |