Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/PSW.Agent.mrh bei Firefox Start.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.04.2009, 11:05   #1
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Habe Bekannte an den PC gelassen und gleich so ein Mist. Natürlich weiß keiner was davon, wie das passiert sein könnte.
Mehrfach mit AntiVir entfernt, nützt aber nichts.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:04, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Java\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Daemon Tools\daemon.exe
C:\Programme\Miranda\miranda32.exe
C:\Programme\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a devices
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\Daemon Tools\daemon.exe" -autorun
O4 - Startup: JDWall.lnk = C:\Programme\JDWall.exe
O4 - Global Startup: DAEMON Tools Lite.lnk = C:\Programme\Daemon Tools\daemon.exe
O4 - Global Startup: JDWall.lnk = C:\Programme\JDWall.exe
O4 - Global Startup: Miranda.lnk = C:\Programme\Miranda\miranda32.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1235423888546
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 5296 bytes

Alt 14.04.2009, 12:07   #2
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Halli hallo wolverine.

In welcher Datei wird der Trojaner gefunden?`Die kompletten Dateipfade sind wichtig.

Am besten postest du den AntiVir Bericht.
__________________

__________________

Alt 14.04.2009, 12:57   #3
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



hallo, danke schon mal. hier der bericht. allerdings findet antivir jetzt nichts mehr!


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 14. April 2009 10:57

Es wird nach 1349339 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : WOLVERIN

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 16:34:07
ANTIVIR3.VDF : 7.1.3.45 198656 Bytes 14.04.2009 08:57:09
Engineversion : 8.2.0.138
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.73 373114 Bytes 04.04.2009 16:34:08
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 16:34:08
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.12 397687 Bytes 04.04.2009 16:34:08
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.114 1700214 Bytes 04.04.2009 16:34:07
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.33 340340 Bytes 04.04.2009 16:34:07
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.7 176502 Bytes 04.04.2009 16:34:06
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 14. April 2009 10:57

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '47578' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'miranda32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueCrypt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '38' Prozesse mit '38' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System 30GB>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_1\IC90B.cab
[0] Archivtyp: CAB (Microsoft)
--> DriveLocker_DriveLocker.dll
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> GaaBin
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_16\VI90LKOR.cab
[0] Archivtyp: CAB (Microsoft)
--> VI_NeroVideoFXKOR.nls
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> VI_NlsKORFile
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_16\VI90LTHA.cab
[0] Archivtyp: CAB (Microsoft)
--> VI_DVDUITHA.nls
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> VI_ExpressUITHA.nls
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_69\DF90B.cab
[0] Archivtyp: CAB (Microsoft)
--> Dolby_NeEacDec2.dll
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> Dolby_neroapl.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{7FDB057A-B36C-409C-9A30-E72A3DD9EC43}\RP77\A0020748.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.mrh
C:\WINDOWS\system32\drivers\ntnbfn.sys
[0] Archivtyp: OVL
--> Object
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.mrh
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Spiele 35GB>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{7FDB057A-B36C-409C-9A30-E72A3DD9EC43}\RP77\A0020748.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.mrh
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1457e0.qua' verschoben!
C:\WINDOWS\system32\drivers\ntnbfn.sys
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a525824.qua' verschoben!
__________________

Alt 14.04.2009, 17:21   #4
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



ISeeYouXP - XP
  • Lade dir das Tool IseeYouXp by ShadowPuterDude
  • Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
  • Schließe auch alle anderen Anwendungen!
  • Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  • Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
  • Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)



ISeeYouXP - VISTA
  • Lade dir das Tool IseeYouXp by ShadowPuterDude
  • Deaktiviere den UAC-User Account Control -(dran denken ihn danach wieder zu aktivieren).
    • Start> Systemsteuerung
    • Doppelklick auf Benutzerkonten
    • Klicke auf Deaktivieren und bestätige.
  • Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  • Klicke mit der Rechten-Maustaste auf die ISeeYouXP Verknüpfung die sich nun auf deinem Desktop befindet und wähle: Als Administrator ausführen!
  • Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)


Systembereinigung
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!

  • Unter File -> Database Update ->Start drücken.
  • Unter AVZPM -> Install extended monitoring driver drücken.
  • Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!

  • Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  • Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  • Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  • Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!
Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
  • Nun starte den Scan bitte durch Drücken des Start Buttons.

  • Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
    Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.
  • Die beiden logs hänge bitte an deinen nächsten Post an.

  • Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.


Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  • Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  • Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  • Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Im Hauptfenster den Start Button drücken.
  • Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Deaktiviere den AVZGuard!
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.04.2009, 07:35   #5
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



was ist denn wichtig von dem scan? anhängen als txt oder einfügen in den post geht nicht weil das alles zu groß ist


Alt 15.04.2009, 09:18   #6
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Dann lade es bei rapidshaer hoch und postre den DownloadLink.
__________________
--> TR/PSW.Agent.mrh bei Firefox Start.

Alt 15.04.2009, 14:23   #7
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



ISeeYouXP Log:
http://rapidshare.de/files/46738871/ISeeYouXP.txt.html


Systembereinigung:
AVZ TXT
http://rapidshare.de/files/46738872/avz_log.txt.html
AVZ CSV
http://rapidshare.de/files/46738873/avz_log.csv.html


Systemanalyse:
AVZ ZIP
http://rapidshare.de/files/46739036/...sinfo.zip.html

Geändert von wolverin (15.04.2009 um 14:33 Uhr)

Alt 15.04.2009, 15:04   #8
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Besuche mal bitte diese Seite für einen Conficker Schnelltest:
http://www.heise.de/security/dienste...onficker.shtml
Die Interpretation ist mit auf der Seite aufgeführt und dient wirklich nur als erster Test.

Downloade dir dieses Tool und speichere es auf dem Desktop. Starte es durch einen Doppelklick und wähle die Optin 1.
Nach dem Scan erscheint ein logfile. Kopiere es komplett und poste es hier.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
C:\PROGRA~1\WinTV\HCWTVS~1.EXE <-- musst du erst aus der AVZ Quarantäne wiederherstellen lassen.
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\JDWall.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.



PS: Deinstalliere alle FileSharing Progs insb. BitTorrent von deinem Rechner. Darüber fängt man sich solchen Mist nämlich ein.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (15.04.2009 um 15:12 Uhr)

Alt 15.04.2009, 16:37   #9
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



http://rapidshare.de/files/46741384/haxlog.txt.html



Datei HCWTVServer.exe empfangen 2009.04.15 17:39:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.15 -
AhnLab-V3 5.0.0.2 2009.04.15 -
AntiVir 7.9.0.143 2009.04.15 -
Antiy-AVL 2.0.3.1 2009.04.15 -
Authentium 5.1.2.4 2009.04.14 -
Avast 4.8.1335.0 2009.04.15 -
AVG 8.5.0.287 2009.04.15 -
BitDefender 7.2 2009.04.15 -
CAT-QuickHeal 10.00 2009.04.15 -
ClamAV 0.94.1 2009.04.15 -
Comodo 1115 2009.04.15 -
DrWeb 4.44.0.09170 2009.04.15 -
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 -
F-Secure 8.0.14470.0 2009.04.15 -
Fortinet 3.117.0.0 2009.04.15 -
GData 19 2009.04.15 -
Ikarus T3.1.1.49.0 2009.04.15 -
K7AntiVirus 7.10.704 2009.04.15 -
Kaspersky 7.0.0.125 2009.04.15 -
McAfee 5584 2009.04.14 -
McAfee+Artemis 5584 2009.04.14 -
McAfee-GW-Edition 6.7.6 2009.04.15 -
Microsoft 1.4502 2009.04.15 -
NOD32 4010 2009.04.15 -
Norman 6.00.06 2009.04.15 -
nProtect 2009.1.8.0 2009.04.15 -
Panda 10.0.0.14 2009.04.14 -
PCTools 4.4.2.0 2009.04.15 -
Prevx1 V2 2009.04.15 -
Rising 21.25.24.00 2009.04.15 -
Sophos 4.40.0 2009.04.15 -
Sunbelt 3.2.1858.2 2009.04.15 -
Symantec 1.4.4.12 2009.04.15 -
TheHacker 6.3.4.0.309 2009.04.15 -
TrendMicro 8.700.0.1004 2009.04.15 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.15.1694 2009.04.15 -
VirusBuster 4.6.5.0 2009.04.15 -
weitere Informationen
File size: 823296 bytes
MD5...: 19fee61c78b50d70ba8900150d2a3a8a
SHA1..: 287564ee9f4d2b22c300aa95f4a6ae40e52a6f82
SHA256: 6b73c70c0fe9d2abf5c1fb15b300e02cb65dd3888ee89a83ec9e04b907978732
SHA512: 129c547e973a6870c6ed9fc9a393b69a6b0a45706973447353d472f61e72e77f
634a09b60027c03dba6124c8550272f2419ee13a0ff06b3d26a7369720be92d7
ssdeep: 24576:N28BzcjNjmPb7vLOFceMaeRzkelxWy6Ds+lZPQPafEk++7F:fWmz7vLOFc
eMaeRzkelxWy6Ds+lZPQPy
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5f9e7
timedatestamp.....: 0x4844502a (Mon Jun 02 19:55:22 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8b021 0x8c000 6.59 8d7fc83b2bbf29ad4b0cc6777c5684c7
.rdata 0x8d000 0x2b064 0x2c000 5.51 6abcd12784db590786dc5bd5b98b4d02
.data 0xb9000 0x9424 0x4000 4.03 83850c7ac1ab8ef0fae00c2cbc4ab4a3
.rsrc 0xc3000 0xbf78 0xc000 4.81 4126de610611040ad7a07acc6b1593a4

( 12 imports )
> ADVAPI32.dll: CloseServiceHandle, OpenServiceA, OpenSCManagerA, CreateServiceA, DeleteService, ControlService, DeregisterEventSource, ReportEventA, RegisterEventSourceA, SetServiceStatus, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, RegQueryInfoKeyA, CopySid, GetLengthSid, IsValidSid, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetTokenInformation, RegEnumKeyExA, OpenProcessToken, OpenThreadToken, RegisterServiceCtrlHandlerExA, StartServiceCtrlDispatcherA, RegEnumValueA, RegSetValueA, RegEnumKeyA, RegQueryValueA, SetFileSecurityA, GetFileSecurityA, RegCreateKeyA, RegOpenKeyA
> KERNEL32.dll: SetUnhandledExceptionFilter, MultiByteToWideChar, WideCharToMultiByte, lstrlenW, RaiseException, SetLastError, MulDiv, LocalFree, GlobalUnlock, GlobalLock, GlobalAlloc, GlobalSize, CopyFileA, GlobalFree, GlobalReAlloc, lstrcmpA, lstrcmpW, lstrcpyW, lstrcpyA, GetThreadLocale, FileTimeToSystemTime, SystemTimeToFileTime, GetCurrentProcessId, LocalAlloc, TlsGetValue, GlobalHandle, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, GetProcAddress, GetModuleFileNameW, GlobalGetAtomNameA, GetAtomNameA, GlobalFlags, SetThreadPriority, ResumeThread, InitializeCriticalSection, SuspendThread, CreateEventA, GetVersionExA, LoadLibraryA, GlobalDeleteAtom, GlobalFindAtomA, GlobalAddAtomA, FreeResource, GetCPInfo, GetOEMCP, GetLocaleInfoA, EnumResourceLanguagesA, ConvertDefaultLocale, GetPrivateProfileIntA, WritePrivateProfileStringA, GetPrivateProfileStringA, GetCurrentDirectoryA, GetFileAttributesA, SetFileTime, GetFileTime, GetTempFileNameA, GetFullPathNameA, GetDiskFreeSpaceA, SetErrorMode, MoveFileA, DeleteFileA, ReadFile, WriteFile, SetFilePointer, FlushFileBuffers, LockFile, UnlockFile, SetEndOfFile, GetFileSize, DuplicateHandle, FindClose, FindFirstFileA, GetVolumeInformationA, GetShortPathNameA, CreateFileA, FileTimeToLocalFileTime, LocalFileTimeToFileTime, SetFileAttributesA, HeapAlloc, HeapFree, RtlUnwind, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapReAlloc, GetSystemTimeAsFileTime, GetProcessHeap, GetStartupInfoA, HeapSize, ExitThread, CreateThread, ExitProcess, FatalAppExitA, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, UnhandledExceptionFilter, SetEvent, IsDebuggerPresent, SetHandleCount, GetFileType, GetTimeZoneInformation, GetACP, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, LCMapStringA, LCMapStringW, SetConsoleCtrlHandler, GetConsoleCP, GetConsoleMode, GetLocaleInfoW, GetStringTypeA, GetStringTypeW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, DeleteCriticalSection, GetLastError, GetModuleFileNameA, InterlockedDecrement, lstrlenA, lstrcmpiA, CloseHandle, GetCurrentProcess, GetCurrentThread, InterlockedIncrement, GetCurrentThreadId, IsDBCSLeadByte, EnterCriticalSection, LeaveCriticalSection, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, GetCommandLineA, LockResource, OutputDebugStringA, Sleep, IsBadReadPtr, CreateMutexA, FormatMessageA, GetStringTypeExW, GetStringTypeExA, GetEnvironmentVariableW, GetEnvironmentVariableA, lstrcmpiW, CompareStringW, CompareStringA, GetVersion, InterlockedExchange, ReleaseMutex, WaitForSingleObject
> USER32.dll: SetCapture, SetCursor, ReleaseCapture, EndDialog, GetNextDlgTabItem, CreateDialogIndirectParamA, ShowOwnedPopups, DeleteMenu, TranslateAcceleratorA, SetMenu, BringWindowToTop, SetRectEmpty, CreatePopupMenu, InsertMenuItemA, LoadAcceleratorsA, LoadMenuA, ReuseDDElParam, UnpackDDElParam, GetDialogBaseUnits, DestroyIcon, GetKeyNameTextA, MapVirtualKeyA, GetSystemMenu, SetParent, UnionRect, SetRect, WindowFromPoint, GetDCEx, LockWindowUpdate, CopyRect, UnregisterClassA, SetWindowsHookExA, CallNextHookEx, TranslateMessage, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetWindowPos, ScrollWindowEx, ShowWindow, MoveWindow, SetWindowLongA, IsWindow, IsDialogMessageA, IsDlgButtonChecked, SetDlgItemTextA, SetDlgItemInt, SendDlgItemMessageA, KillTimer, GetDlgItemInt, GetDlgItem, CheckRadioButton, GetMenuCheckMarkDimensions, GetScrollPos, SetScrollPos, SetFocus, GetFocus, FindWindowA, GetDlgCtrlID, GetClassNameA, PtInRect, SetWindowTextA, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, ScreenToClient, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, FillRect, LoadCursorA, GetSystemMetrics, GetDC, ReleaseDC, GetSysColor, GetSysColorBrush, UnhookWindowsHookEx, GetWindowThreadProcessId, SendMessageA, GetParent, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, GetWindowTextLengthA, GetWindowTextA, GetDesktopWindow, EnableWindow, GetMenuState, GetMenuStringA, AppendMenuA, GetMenuItemID, InsertMenuA, GetMenuItemCount, GetSubMenu, RemoveMenu, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, SetTimer, InvalidateRect, SetWindowRgn, DrawIcon, GetDlgItemTextA, IsRectEmpty, RegisterWindowMessageA, LoadIconA, WinHelpA, IsChild, GetCapture, GetClassLongA, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, SetActiveWindow, CharNextA, MessageBoxA, LoadStringA, PostThreadMessageA, DispatchMessageA, GetMessageA, PostQuitMessage, DestroyMenu, GetMenuItemInfoA, GetWindow, SetMenuItemBitmaps, CharLowerA, CharLowerW, CharUpperA, CharUpperW, BeginDeferWindowPos, EndDeferWindowPos, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, ScrollWindow, TrackPopupMenuEx, TrackPopupMenu, SetScrollRange, GetScrollRange, SetForegroundWindow, ShowScrollBar, UpdateWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, EqualRect, DeferWindowPos, GetScrollInfo, SetScrollInfo, SetWindowPlacement, DefWindowProcA, CallWindowProcA, OffsetRect, SystemParametersInfoA, IsIconic, GetWindowPlacement, IntersectRect, CheckDlgButton, InflateRect, GetWindowRect
> ole32.dll: ReadClassStg, CoCreateGuid, ProgIDFromCLSID, CoInitializeEx, CoInitializeSecurity, CoUninitialize, StringFromGUID2, CoCreateInstance, StringFromCLSID, CoRegisterClassObject, CoRevokeClassObject, CoTaskMemRealloc, CoTaskMemAlloc, ReadFmtUserTypeStg, OleRegGetUserType, WriteClassStg, WriteFmtUserTypeStg, SetConvertStg, CreateBindCtx, CoTreatAsClass, ReleaseStgMedium, OleDuplicateData, CLSIDFromString, CoTaskMemFree, CoDisconnectObject
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFindExtensionA, PathFindFileNameA, PathStripToRootA, PathIsUNCA, PathRemoveExtensionA
> OLEACC.dll: AccessibleObjectFromWindow, CreateStdAccessibleObject, LresultFromObject
> GDI32.dll: SetROP2, SetStretchBltMode, SetTextColor, SetGraphicsMode, SetWorldTransform, ModifyWorldTransform, SetMapMode, GetClipBox, ExcludeClipRect, IntersectClipRect, OffsetClipRgn, LineTo, MoveToEx, SetTextAlign, SetTextJustification, SetTextCharacterExtra, SetMapperFlags, SetArcDirection, SetColorAdjustment, DeleteObject, SelectClipRgn, GetClipRgn, CreateRectRgn, SelectClipPath, GetObjectA, GetViewportExtEx, SetPolyFillMode, BitBlt, GetPixel, StartDocA, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowOrgEx, OffsetWindowOrgEx, SetWindowExtEx, ScaleWindowExtEx, GetCurrentPositionEx, ArcTo, PolyDraw, PolylineTo, PolyBezierTo, ExtSelectClipRgn, DeleteDC, CreateDIBPatternBrushPt, CreatePatternBrush, CreateBitmap, CreateCompatibleDC, GetStockObject, SelectPalette, PlayMetaFileRecord, GetObjectType, EnumMetaFile, PlayMetaFile, CreatePen, ExtCreatePen, GetDeviceCaps, SetBkMode, SetBkColor, RestoreDC, SaveDC, CreateDCA, GetBkColor, StretchDIBits, CreateFontA, GetCharWidthA, GetTextMetricsA, CreateCompatibleBitmap, Ellipse, LPtoDP, CreateEllipticRgn, GetTextExtentPoint32A, GetDCOrgEx, DPtoLP, PatBlt, GetMapMode, CombineRgn, SetRectRgn, CreateRectRgnIndirect, CreateFontIndirectA, CreateHatchBrush, CreateSolidBrush, CopyMetaFileA, GetWindowExtEx
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> comdlg32.dll: GetFileTitleA
> SHELL32.dll: SHGetFileInfoA, DragQueryFileA, DragFinish, ExtractIconA
> ODBC32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )

Geändert von wolverin (15.04.2009 um 16:50 Uhr)

Alt 15.04.2009, 16:46   #10
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Was hat der Conficker Schnelltest ergeben?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.04.2009, 17:13   #11
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Datei EPGService.exe empfangen 2009.04.15 17:51:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 38 und 54 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.15 -
AhnLab-V3 5.0.0.2 2009.04.15 -
AntiVir 7.9.0.143 2009.04.15 -
Antiy-AVL 2.0.3.1 2009.04.15 -
Authentium 5.1.2.4 2009.04.14 -
Avast 4.8.1335.0 2009.04.15 -
AVG 8.5.0.287 2009.04.15 -
BitDefender 7.2 2009.04.15 -
CAT-QuickHeal 10.00 2009.04.15 -
ClamAV 0.94.1 2009.04.15 -
Comodo 1115 2009.04.15 -
DrWeb 4.44.0.09170 2009.04.15 -
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 -
F-Secure 8.0.14470.0 2009.04.15 -
Fortinet 3.117.0.0 2009.04.15 -
GData 19 2009.04.15 -
Ikarus T3.1.1.49.0 2009.04.15 -
K7AntiVirus 7.10.704 2009.04.15 -
Kaspersky 7.0.0.125 2009.04.15 -
McAfee 5584 2009.04.14 -
McAfee+Artemis 5584 2009.04.14 -
McAfee-GW-Edition 6.7.6 2009.04.15 -
Microsoft 1.4502 2009.04.15 -
NOD32 4011 2009.04.15 -
Norman 6.00.06 2009.04.15 -
nProtect 2009.1.8.0 2009.04.15 -
Panda 10.0.0.14 2009.04.14 -
PCTools 4.4.2.0 2009.04.15 -
Prevx1 V2 2009.04.15 -
Rising 21.25.24.00 2009.04.15 -
Sophos 4.40.0 2009.04.15 -
Sunbelt 3.2.1858.2 2009.04.15 -
Symantec 1.4.4.12 2009.04.15 -
TheHacker 6.3.4.0.309 2009.04.15 -
TrendMicro 8.700.0.1004 2009.04.15 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.15.1694 2009.04.15 -
VirusBuster 4.6.5.0 2009.04.15 -
weitere Informationen
File size: 437248 bytes
MD5...: 5d09ccd05d538a0a3a63adf0fc54e8bf
SHA1..: 9c4e37a0577265db91dfbf2df93058a87b174619
SHA256: db2023150e02845d5645b7ee364d797cf7a0627a5127aa0678e080c04ea9122d
SHA512: 2801baaff153c037664d66077fd7a0defcfcb270061bf4a61cdf88d714319adf
b9f34bb7a93bc64cbe4be74af1bdacf92c8c5f65cde605ea4286a502ab77f716
ssdeep: 6144:ml4L7bVRWXxWG2Kbdk5ITiY3e63oVUbzZAh0LYfyl8iVf:U4L7bVoRXbdk5
bSoadIyl1
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3f8f6
timedatestamp.....: 0x48401825 (Fri May 30 15:07:17 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x53614 0x53800 6.54 e12a4cf7cbcc3345330594348305287b
.rdata 0x55000 0x137e6 0x13800 5.33 29bdc15c90b7608170ff3e0bd52f66eb
.data 0x69000 0x70e4 0x2600 4.19 bf7b9ba738c75b862b8a519aec07d9ef
.rsrc 0x71000 0x1124 0x1200 4.72 7591bafca3ac433996c1e43c5bc85d1e

( 10 imports )
> KERNEL32.dll: RtlUnwind, HeapAlloc, HeapFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetSystemTimeAsFileTime, ExitThread, GetTimeFormatA, GetDateFormatA, ExitProcess, GetProcessHeap, GetStartupInfoA, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetTimeZoneInformation, SetHandleCount, GetFileType, GetACP, IsValidCodePage, LCMapStringA, LCMapStringW, GetConsoleCP, GetConsoleMode, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetEnvironmentVariableA, GetOEMCP, GetCPInfo, GetLocaleInfoA, GlobalFlags, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcmpW, GetVersionExA, GetFileTime, GetFileAttributesA, FileTimeToSystemTime, lstrcmpA, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, GlobalHandle, GlobalReAlloc, TlsGetValue, LocalAlloc, SuspendThread, ResumeThread, SetThreadPriority, GlobalGetAtomNameA, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, DuplicateHandle, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, LoadLibraryA, GetThreadLocale, GetProcAddress, SetLastError, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, LocalFree, GetCurrentProcessId, GetWindowsDirectoryA, GetTempFileNameA, DeleteFileA, CopyFileA, GetSystemTime, lstrcpyA, GetTickCount, GetFileSize, ReadFile, WriteFile, lstrcatA, CreateFileA, CreateProcessA, ResetEvent, WaitForSingleObject, WaitForMultipleObjects, TerminateThread, GetCommandLineA, GetCurrentThreadId, CreateEventA, SetEvent, GetModuleHandleA, LoadLibraryExA, FreeLibrary, LeaveCriticalSection, EnterCriticalSection, IsDBCSLeadByte, InterlockedIncrement, GetCurrentThread, GetCurrentProcess, CloseHandle, InterlockedDecrement, FindResourceA, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, GetModuleFileNameA, CreateThread, Sleep, FileTimeToLocalFileTime, OutputDebugStringA, lstrlenA, lstrcmpiA, CompareStringW, CompareStringA, lstrlenW, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, GetStdHandle, InterlockedExchange
> USER32.dll: PostQuitMessage, DestroyMenu, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ClientToScreen, ShowWindow, SetWindowTextA, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, IsWindow, GetForegroundWindow, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetWindow, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, ModifyMenuA, EnableMenuItem, CheckMenuItem, UnregisterClassA, GetWindowTextA, GetWindowThreadProcessId, GetParent, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, EnableWindow, LoadCursorA, GetDC, ReleaseDC, GetSysColor, GetSysColorBrush, SetWindowsHookExA, CallNextHookEx, TranslateMessage, GetActiveWindow, IsWindowVisible, SendMessageA, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, GetSystemMetrics, UnhookWindowsHookEx, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, wsprintfW, wvsprintfA, wsprintfA, GetMessageA, DispatchMessageA, PostThreadMessageA, LoadStringA, MessageBoxA, CharNextA, CharUpperA, CharLowerA, RegisterClassA
> GDI32.dll: SetViewportOrgEx, SelectObject, Escape, TextOutA, RectVisible, PtVisible, GetStockObject, DeleteDC, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, ExtTextOutA, SetMapMode, GetDeviceCaps, CreateBitmap, GetClipBox, SetTextColor, SetBkColor, DeleteObject, SaveDC, RestoreDC, OffsetViewportOrgEx
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: GetUserNameA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, OpenThreadToken, OpenProcessToken, RegEnumKeyExA, GetTokenInformation, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, IsValidSid, GetLengthSid, CopySid, RegQueryInfoKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA, SetServiceStatus, RegisterEventSourceA, ReportEventA, DeregisterEventSource, ControlService, DeleteService, CreateServiceA, OpenSCManagerA, OpenServiceA, CloseServiceHandle
> SHLWAPI.dll: PathStripToRootA, PathIsUNCA, PathFindFileNameA
> ole32.dll: CoRegisterClassObject, CoTaskMemFree, StringFromGUID2, CoUninitialize, CoRevokeClassObject, CoTaskMemAlloc, CoTaskMemRealloc, CoInitialize, CoInitializeSecurity, CreateItemMoniker, GetRunningObjectTable, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WS2_32.dll: -, WSAAccept, WSACreateEvent, -, WSAEventSelect, WSAWaitForMultipleEvents, -, WSARecv, -, -, WSASend, WSACloseEvent, -, -, WSASocketA, -, WSAEnumNetworkEvents, -

( 0 exports )

Alt 15.04.2009, 17:23   #12
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Confickr war negativ. also liege ich richtig in der annahme antivir hatte doch alles schon bereinigt, trotz mehrerer meldungen?





Datei JDWall.exe empfangen 2009.04.15 18:14:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 50 und 72 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.15 -
AhnLab-V3 5.0.0.2 2009.04.15 -
AntiVir 7.9.0.143 2009.04.15 -
Antiy-AVL 2.0.3.1 2009.04.15 -
Authentium 5.1.2.4 2009.04.14 -
Avast 4.8.1335.0 2009.04.15 -
AVG 8.5.0.287 2009.04.15 -
BitDefender 7.2 2009.04.15 -
CAT-QuickHeal 10.00 2009.04.15 -
ClamAV 0.94.1 2009.04.15 -
Comodo 1115 2009.04.15 -
DrWeb 4.44.0.09170 2009.04.15 -
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 -
F-Secure 8.0.14470.0 2009.04.15 -
Fortinet 3.117.0.0 2009.04.15 -
GData 19 2009.04.15 -
Ikarus T3.1.1.49.0 2009.04.15 -
K7AntiVirus 7.10.704 2009.04.15 -
Kaspersky 7.0.0.125 2009.04.15 -
McAfee 5585 2009.04.15 -
McAfee+Artemis 5585 2009.04.15 -
McAfee-GW-Edition 6.7.6 2009.04.15 -
Microsoft 1.4502 2009.04.15 -
NOD32 4011 2009.04.15 -
Norman 6.00.06 2009.04.15 -
nProtect 2009.1.8.0 2009.04.15 -
Panda 10.0.0.14 2009.04.14 -
PCTools 4.4.2.0 2009.04.15 -
Rising 21.25.24.00 2009.04.15 -
Sophos 4.40.0 2009.04.15 -
Sunbelt 3.2.1858.2 2009.04.15 -
Symantec 1.4.4.12 2009.04.15 -
TheHacker 6.3.4.0.309 2009.04.15 -
TrendMicro 8.700.0.1004 2009.04.15 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.15.1694 2009.04.15 -
VirusBuster 4.6.5.0 2009.04.15 -
weitere Informationen
File size: 850944 bytes
MD5...: 263c066d9a810c0adc1730a0dab2f6ae
SHA1..: 1a4fd1a1cfb8ce9e49f7bb563adab531541baa3c
SHA256: f6d9e87e5007ceda6006f7b8ee8546dbb79ec5aaee17d797a7cfb082ec6b9239
SHA512: 74bb9fbe4958e29129bf246b3f4f2713fae4a1f048ef81e248df3bfecf5aff0c
30cce6536499ee4942511753c3c8424cf4fdbae8cad1291a3fb5fe1bf0c39d9c
ssdeep: 12288:47rGoc/ct5EaJ3naXEpvSHKC+g6T4nWtnAf/0bxQq3Y+tkEL:SKoh5E2vS
PMUqAU6q7t
PEiD..: BobSoft Mini Delphi -> BoB / BobSoft
TrID..: File type identification
Win32 Executable Borland Delphi 7 (69.6%)
Win32 Executable Borland Delphi 6 (27.3%)
Win32 Executable Delphi generic (1.5%)
Win32 Executable Generic (0.8%)
Win16/32 Executable Delphi generic (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9807c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x97118 0x97200 6.55 ca6cc119d761dfe3cee3ff3e2727f1bb
DATA 0x99000 0x1ee8 0x2000 4.56 6628a6bf9672eb5e506890b3aaf2ffb8
BSS 0x9b000 0xcb5 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x9c000 0x25e8 0x2600 5.05 93f5d5a433b4609c2d334ecf444caff5
.tls 0x9f000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xa0000 0x18 0x200 0.19 57d0e20bb6d521035d4d3f4f8a04998b
.reloc 0xa1000 0x9d9c 0x9e00 6.66 f1f41ada4c931275f5826d4a4d17950b
.rsrc 0xab000 0x2a000 0x2a000 6.58 6d2701587d8c61efa1dcee073b697b27

( 17 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
> advapi32.dll: RegSetValueExA, RegQueryValueExA, RegQueryInfoKeyA, RegOpenKeyExA, RegFlushKey, RegEnumKeyExA, RegDeleteValueA, RegDeleteKeyA, RegCreateKeyExA, RegCloseKey
> kernel32.dll: lstrcpyA, lstrcmpA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResetEvent, ReadFile, MultiByteToWideChar, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalSize, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetWindowsDirectoryA, GetVersionExA, GetVersion, GetUserDefaultLCID, GetTickCount, GetThreadLocale, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileAttributesA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedExchange, FreeLibrary, FormatMessageA, FindResourceA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteFileA, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
> version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
> gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetWinMetaFileBits, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetMapMode, SetEnhMetaFileBits, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SelectClipRgn, SaveDC, RestoreDC, Rectangle, RectVisible, RealizePalette, Polyline, PlayEnhMetaFile, PatBlt, MoveToEx, MaskBlt, LineTo, LPtoDP, IntersectClipRect, GetWindowOrgEx, GetWinMetaFileBits, GetTextMetricsA, GetTextExtentPointA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetEnhMetaFilePaletteEntries, GetEnhMetaFileHeader, GetEnhMetaFileDescriptionA, GetEnhMetaFileBits, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, GdiFlush, ExtTextOutA, ExcludeClipRect, DeleteObject, DeleteEnhMetaFile, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateEnhMetaFileA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, CopyEnhMetaFileA, CloseEnhMetaFile, BitBlt
> user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowTextA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClipboardData, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OpenClipboard, OffsetRect, OemToCharA, MessageBoxA, MessageBeep, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMessageTime, GetMessagePos, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDlgItem, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClipboardData, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, EmptyClipboard, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, CloseClipboard, ClientToScreen, ChildWindowFromPoint, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerBuffA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
> kernel32.dll: Sleep
> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
> ole32.dll: CreateStreamOnHGlobal, IsAccelerator, OleDraw, OleSetMenuDescriptor, CoTaskMemAlloc, CoCreateInstance, CoGetClassObject, CoUninitialize, CoInitialize, IsEqualGUID
> oleaut32.dll: GetErrorInfo, SysFreeString
> comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Replace, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
> shell32.dll: Shell_NotifyIconA, ShellExecuteA
> comdlg32.dll: GetOpenFileNameA

( 0 exports )

Alt 15.04.2009, 18:49   #13
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Mache bitte noch einen aggresiven Scan mit AntiVir. Update vorher die Datenbanken.

http://www.trojaner-board.de/54192-a...tellungen.html
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 15.04.2009, 21:55   #14
wolverin
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



ich danke dir für deine mühe. habe alle ratschläge befolgt und hoffentlich sehen wir uns nicht wieder

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 15. April 2009 20:45

Es wird nach 1354334 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : wolv
Computername : WOLVERIN

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 16:34:07
ANTIVIR3.VDF : 7.1.3.57 266240 Bytes 15.04.2009 18:42:39
Engineversion : 8.2.0.143
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 14.04.2009 20:17:00
AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 16:34:08
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.12 397687 Bytes 04.04.2009 16:34:08
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.116 1708407 Bytes 14.04.2009 20:17:00
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56
AEGEN.DLL : 8.1.1.34 340340 Bytes 14.04.2009 20:16:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14.04.2009 20:16:55
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 15. April 2009 20:45

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44142' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cidaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'miranda32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueCrypt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'itype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EPGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cisvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System 30GB>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_1\IC90B.cab
[0] Archivtyp: CAB (Microsoft)
--> DriveLocker_DriveLocker.dll
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> GaaBin
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_16\VI90LKOR.cab
[0] Archivtyp: CAB (Microsoft)
--> VI_NeroVideoFXKOR.nls
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> VI_NlsKORFile
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_16\VI90LTHA.cab
[0] Archivtyp: CAB (Microsoft)
--> VI_DVDUITHA.nls
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> VI_ExpressUITHA.nls
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\wolv\Lokale Einstellungen\Temp\NERO1003378\unit_app_69\DF90B.cab
[0] Archivtyp: CAB (Microsoft)
--> Dolby_NeEacDec2.dll
[WARNUNG] Die Datei konnte nicht geschrieben werden!
--> Dolby_neroapl.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Spiele 35GB>
D:\Images\Crazy Minigolf\CLS-CZMG.ACE
[0] Archivtyp: ACE
--> data\castle.bin
[WARNUNG] Zu wenig Speicher! Virus bzw. unerwünschtes Programm wurde nicht entfernt!
--> data\grave.bin
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'E:\' <Daten 180GB>
E:\Programme\Utilities\Pakma.ace
[0] Archivtyp: ACE
--> Pakma\Software\PAKMA\_SETUP.1
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\' <Daten 250GB>


Ende des Suchlaufs: Mittwoch, 15. April 2009 21:56
Benötigte Zeit: 1:11:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10446 Verzeichnisse wurden überprüft
581131 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
581129 Dateien ohne Befall
9628 Archive wurden durchsucht
19 Warnungen
1 Hinweise
44142 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 16.04.2009, 14:35   #15
undoreal
/// AVZ-Toolkit Guru
 
TR/PSW.Agent.mrh bei Firefox Start. - Standard

TR/PSW.Agent.mrh bei Firefox Start.



Die logs sehen alle sauber aus.

Gibt es noch Probleme?

Wenn nicht dann bist du entlassen..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu TR/PSW.Agent.mrh bei Firefox Start.
adobe, antivir, antivir guard, avira, bho, cdburnerxp, computer, dateien, desktop, explorer, firefox, hijack, hijackthis, internet, internet explorer, micro, microsoft, nvidia, object, plug-in, preferences, programme, rundll, software, sp3, system, windows, windows xp




Ähnliche Themen: TR/PSW.Agent.mrh bei Firefox Start.


  1. Bei Firefox start -> resource://firefox.abs.avira.com/html/blocked.html
    Log-Analyse und Auswertung - 21.09.2014 (9)
  2. Firefox öffnet knapp 300 Tabs beim Start - Win 7,64 bit
    Plagegeister aller Art und deren Bekämpfung - 07.08.2014 (1)
  3. Unerwünschte Werbung bei jedem Firefox start
    Log-Analyse und Auswertung - 21.03.2014 (23)
  4. QV06 Seite bei Firefox-Start
    Log-Analyse und Auswertung - 16.10.2013 (9)
  5. tabs im Firefox öffnen immer my start.incredibar
    Log-Analyse und Auswertung - 10.08.2012 (21)
  6. incredibar my start blockiert firefox tab
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (17)
  7. Mühsamer PC start und langsamer Firefox
    Log-Analyse und Auswertung - 04.11.2010 (6)
  8. Firefox stürzt beim Start ständig ab
    Log-Analyse und Auswertung - 05.10.2010 (1)
  9. Firefox öffnet ständig Werbefenster beim Start
    Log-Analyse und Auswertung - 29.08.2010 (8)
  10. Firefox - Kein Start möglich
    Alles rund um Windows - 01.10.2009 (17)
  11. Win32:Agent-SIU start schwierichkeiten und abstürtze
    Plagegeister aller Art und deren Bekämpfung - 26.03.2008 (9)
  12. Win32:Agent-SIU start schwierichkeiten und abstürtze
    Mülltonne - 02.03.2008 (0)
  13. IE popup beim start von firefox 2.01
    Plagegeister aller Art und deren Bekämpfung - 15.01.2007 (4)
  14. IE Popup nach Firefox Start
    Log-Analyse und Auswertung - 08.01.2007 (7)
  15. IE Popup nach Firefox Start
    Log-Analyse und Auswertung - 31.12.2006 (1)
  16. Popup vom IE nach Firefox start
    Log-Analyse und Auswertung - 30.12.2006 (1)
  17. firefox start -> iepopup
    Alles rund um Windows - 26.09.2006 (12)

Zum Thema TR/PSW.Agent.mrh bei Firefox Start. - Habe Bekannte an den PC gelassen und gleich so ein Mist. Natürlich weiß keiner was davon, wie das passiert sein könnte. Mehrfach mit AntiVir entfernt, nützt aber nichts. Logfile of - TR/PSW.Agent.mrh bei Firefox Start....
Archiv
Du betrachtest: TR/PSW.Agent.mrh bei Firefox Start. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.