TR/Agent.buxq muss weg! brauche eure hilfe

qwert5000 · 16.03.2009, 23:26

hallo leute,
Ich habe mir anscheind den Trojaner TR/Agent.buxq eingefangen, und werde ihn leider nicht mehr los. Nach dem AntiVir scan steht zwar löschen zur Option, scheint aber nicht zu funktionieren, da ich immer wieder die Warnmeldung bekomme das TR/Agent.buxq sich in meinem Computer rumtreibt.
Hat jemand eine Idee was ich machen kann ?
Oder vielleicht Lust sich meine HijackThis.log anzuschaun ?

a5cl3p1o5 · 16.03.2009, 23:28

Hallo und

schicke bitte die Logfile von AntiVir und befolge bitte anschließend folgende Anleitung:

Ausschnitt:

Zitat:

a) Anleitung -> CCleaner

b) Anleitung -> Malwarebytes-Anti-Malware
(Wenn das Programm schon ausgeführt wurde, bitte den Report kopieren und uns zeigen, steht alles in der Anleitung!)

c) Anleitung -> Anleitung: HijackThis

d) Liste installierter Software -> Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis

Anschließend kann Dir hier dann im Board jemand helfen.

Grüße
a5cl3p1o5

qwert5000 · 17.03.2009, 01:02

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1856
Windows 5.1.2600 Service Pack 2

17.03.2009 00:32:19
mbam-log-2009-03-17 (00-32-19).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 115652
Laufzeit: 23 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.

und hier die AntiVir log :

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 17. März 2009 00:33

Es wird nach 1299841 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-PC

Versionsinformationen:
BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:23:42
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 13:23:41
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.03.2009 12:52:37
ANTIVIR3.VDF : 7.1.2.176 98304 Bytes 16.03.2009 14:49:14
Engineversion : 8.2.0.114
AEVDF.DLL : 8.1.1.0 106868 Bytes 02.02.2009 15:30:11
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 14.03.2009 12:42:27
AESCN.DLL : 8.1.1.8 127346 Bytes 05.03.2009 19:25:39
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 00:29:46
AEPACK.DLL : 8.1.3.10 397686 Bytes 05.03.2009 19:25:38
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 14:43:44
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 05.03.2009 19:24:42
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 14:43:39
AEGEN.DLL : 8.1.1.28 336244 Bytes 14.03.2009 12:42:26
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 12:44:52
AECORE.DLL : 8.1.6.6 176501 Bytes 18.02.2009 15:33:27
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 12:44:50
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 08.09.2008 21:38:03
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 17. März 2009 00:33

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerDVD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZDWlan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NvMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZyDummyZD11B-BG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'srvany.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '44' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\GameTribe\Dekaron\bin\gameguard\gamemon.des
[FUND] Ist das Trojanische Pferd TR/Agent.buxq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2be52a.qua' verschoben!
C:\System Volume Information\_restore{58357AF9-45D2-43A1-A79B-58507ABCB320}\RP169\A0226899.des
[FUND] Ist das Trojanische Pferd TR/Agent.buxq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0e6cb.qua' verschoben!
C:\System Volume Information\_restore{58357AF9-45D2-43A1-A79B-58507ABCB320}\RP172\A0229818.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0e6df.qua' verschoben!
C:\System Volume Information\_restore{58357AF9-45D2-43A1-A79B-58507ABCB320}\RP172\A0229819.des
[FUND] Ist das Trojanische Pferd TR/Agent.buxq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49f0e6e5.qua' verschoben!

Ende des Suchlaufs: Dienstag, 17. März 2009 00:58
Benötigte Zeit: 24:42 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4314 Verzeichnisse wurden überprüft
133158 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
133153 Dateien ohne Befall
1231 Archive wurden durchsucht
1 Warnungen
4 Hinweise

und die hijackthis.log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:00:43, on 17.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\srvany.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZyDummyZD11B-BG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\Programme\CyberLink\PowerDVD\PowerDVD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe
O23 - Service: ZyDAS1211BBG - Unknown owner - C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\srvany.exe

--
End of file - 4728 bytes

qwert5000 · 17.03.2009, 01:03

hoffe hier kann jemand damit was anfangen =)

a5cl3p1o5 · 17.03.2009, 07:29

Hallo qwert5000,

Zitat:

C:\System Volume Information\_restore{58357AF9-45D2-43A1-A79B-58507ABCB320}\RP169\A0226899.des
[FUND] Ist das Trojanische Pferd TR/Agent.buxq

hier findest Du eine Anleitung, wie Du das Problem löst.

Wie geht es Deinem Computer jetzt?
Lade Dir zur Sicherheit noch SUPERAntiSpyware runter und führe es aus. Stecke auch USB-Sticks und externe Festplatten an, damit diese mit überprüft werden.

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Dann solltest Du dringend das Service Pack 3 für Windows XP aufspielen und danach alle weiteren Updates!
Aktiviere bitte die automatischen Updates, damit Du in Zukunft up-to-date bist.

Zitat:

d) Liste installierter Software -> Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

Leider hast Du den Punkt nicht abgearbeitet, daher kann ich nicht sagen, welche Software noch veraltet ist

Grüße
a5cl3p1o5

qwert5000 · 17.03.2009, 15:00

vielen dank für deine hilfe

TR/Agent.buxq muss weg! brauche eure hilfe

Log-Analyse und Auswertung: TR/Agent.buxq muss weg! brauche eure hilfe