|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.47104.LWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.04.2009, 08:12 | #1 |
| TR/Agent.47104.L Hallo Zusammen, brauche dringend Hilfe. ich bin ein absoluter PC Leie und habe folgendes Problem, dass ich hier auch noch nicht finden konnte. Gestern meldete mir AntiVir, dass er zweimal den o.g. Trojaner gefunden hätte, einmal in irgendeiner Anwendung namens ACDsee und in irgendeiner exe Weiß-der-geier. AntiVir fragte mich, ob er in Quarantäne verschieben soll oder Löschen soll. Ich dachte Löschen ist vielleicht besser, damit er wirklich unten ist. Bevor aber AntiVir die Meldung brachte, hängte sich der Pc völlig oohne Vorwarnung plötzlich auf, es war überhaupt nichts anderes mehr machbar als zu Reseten (auch Strg,Alt und Enf half nichts mehr) woraufhin der Bildschirm komplett blau wurde, irgendwelche Schriftzüge darüber huschten und er sich dann selbst neu startete. Anschließend habe ich dann AntiVir suchen lassen, der die i.g zwei befallenen Programme/ Dateien fand. So weit so gut, nur komme ich seit dem nicht mehr ins Internet hinein. x mal Kabelüberprüfung - alles ok. Aber er findet den Zugang nicht. Jetzt habe ich den Verdacht, dass evtl. einer der beiden gelöschten Dateien/ Programme etwas mit dem Zugang zu tun hat. Kann mir da jemand helfen? Ich hoffe, ich hab mit meiner leienhaften Beschreibung einigermaßen erklären können, was los war. Der AntiVir brachte auch einen Bericht, den ich natürlich gespeichert habe. Meine Fragen sind nun folgende: 1. Ist dieser besch... Trojaner jetzt wirklich komplett draußen oder schwirrt er noch irgendwo im Hintergrund herum und treibt sein Unwesen 2. Wie schaffe ich es mein Internet wieder ins Laufen zu bringen? Wäre super toll, wenn ihr mir helfen könntet. Bin vollkommen hilflos waws es solche Dinge betrifft. Liebe Grüße @all Ginn |
02.04.2009, 23:00 | #3 |
| TR/Agent.47104.L Hallo,
__________________wie soll ich den Anweisungen denn folgen, wenn ich nichts auf den Pc laden kann? Ich komme doch nicht ins Internet! (um zB den CCleaner zu installieren) - verzweifelt schaut. Und wo finde ich die 'Log Files'? Zudem hängt sich der Pc nach wie vor ständig auf und es geht nichts mehr, noch nicht einmal Strg,Alt + entf Liebe Grüße Ginn |
03.04.2009, 01:02 | #4 |
| TR/Agent.47104.L Hallo, ich habe das Problem jetzt anders gelöst und alle drei Programme (CCleaner, Malwraebytes und HiJack) von einem anderen Pc heruntergeladen, auf meinen aufgespielt und installiert und ausgeführt. Hier nun der Report von Malwarebytes: Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1904 Windows 5.1.2600 Service Pack 3 03.04.2009 01:14:25 mbam-log-2009-04-03 (01-14-25).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 154101 Laufzeit: 33 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully. C:\Programme\lame_enc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Programme\no23xwrapper.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Programme\ogg.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Programme\vorbis.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Programme\vorbisenc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. C:\Programme\vorbisfile.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully. Was genau brauchst Du denn von HiJack? Es haben sich zwei Fenster geöffnet, zum einen eines, in dem ich per Häkchen markieren kann, was ich 'fixen' möchte und zum anderen eines mit gleicheem Inhalt, nur als Bericht. An das Fixen traue ich mich definitiv nicht dran, weil ich absolut keine Ahnung habe, was ich davon gefahrlos löschen darf und was nicht. Aber da kannst Du mir wahrscheinlich schon helfen, oder? Kann ich Dir den Bericht im Editor von HiJack hier gefahrlos rüberschicken? Habe zwar ein paar http..... dabei, allerdings ohne Endung .de Wie gesagt, in diesen Dingen bin ich wirklich ein Laie! So, und jetzt muss ich dringendst schlafen gehen. Dnke Dir auf jeden Fall jetzt schon für Deine Hilfe! Lg Ginn |
03.04.2009, 10:11 | #5 |
| TR/Agent.47104.L Gute Arbeit, dass wäre der nächste Schritt gewesen. Den hast du jetzt selbst gefunden. Wenn meine Anweisungen etwas verwirrend für dich waren tuts mir leid. Ich wollte erst mal sehen ob und wie weit du Zugriff auf dein System hast. Zu deiner Frage: Ich brauch den Hijack in Berichtsform. Gibt es irgendeine positive Veränderung an deinem System nachdem du die Schadware gelöscht hast?
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
08.04.2009, 18:33 | #6 |
| TR/Agent.47104.L Hallo, bitte entschuldige meine späte Antwort,ich war krank und konnte mich deshalb nicht um mein Problem kümmern. Hier nun der Bericht von Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:29:00, on 08.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\lxcicoms.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Lexmark 7300 Series\lxcimon.exe C:\Programme\Lexmark 7300 Series\ezprint.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\EssentialPIM\EssentialPIM.exe C:\Programme\Stickies\stickies.exe C:\Programme\SANYO\XactiScreenCapture\SetClip.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe" O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TrayServer] C:\PROGRA~1\MAGIX\VIDEO_~1\TrayServer.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EssentialPIM] "C:\Programme\EssentialPIM\EssentialPIM.exe" /autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Stickies.lnk = C:\Programme\Stickies\stickies.exe O4 - Startup: Xacti Screen Capture 1.1.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219237753859 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219237813625 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{797C2F18-7E95-4162-8E9E-AFCFE514C3FD}: NameServer = 62.72.64.237,62.72.64.241 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe -- End of file - 7766 bytes Nein, positive Veränderungen gab es seither nicht. Ich weiß nach wie vor nicht, wie es mir gelingen kann wieder ins Internet zu kommen und bei jedem Start verlangt er auf einmal, dass ich F1 drücke damit er fortfahren kann, war vorher nicht so. Liebe Grüße Ginn |
08.04.2009, 18:35 | #7 |
| TR/Agent.47104.L Hi, sorry, hab noch was vergessen. Kannst du mir aufgrund des Berichts sagen, was ich sorgenfrei entfernen (fixen) kann und was nicht. Liebe Grüße Ginn |
Themen zu TR/Agent.47104.L |
antivir, anwendung, bericht, bildschirm, blau, dateien, dringend, exe, folge, frage, hilflos, hintergrund, internet, löschen, meldung, neu, nicht mehr, plötzlich, problem, quarantäne, rojaner gefunden, strg, suche, super, tr/agent.47104.l, trojaner, trojaner gefunden, verdacht, verschieben |