Trojanisches Pferd TR/PSW.Agent.mrh

lenny_93 · 16.04.2009, 19:00

Hier der Bericht vol Malwarebytes. habe die datei dann ja mit der software gelöscht:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1987
Windows 5.1.2600 Service Pack 2

15.04.2009 23:53:54
mbam-log-2009-04-15 (23-53-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 106759
Laufzeit: 37 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\svcinit.exe (Fake.Dropped.Malware)

Leider kann ich mir SUPERAntiSpyware nicht downloaden. Es bricht immer bei 75 Prozent ab. Hab es von 2 Seiten versucht und mit IE7 und Firefox aer immer das selbe

john.doe · 16.04.2009, 19:52

Versuche den: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

ciao, andreas

lenny_93 · 16.04.2009, 20:29

Das bricht auch bei 75 % ab. Irgendwas scheint mein PC gegen diese datei zu haben

john.doe · 16.04.2009, 20:40

Dann lade sie halt mit einem anderen PC runter und benutze einen Memorystick o.ä.

ciao, andreas

lenny_93 · 17.04.2009, 19:12

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/17/2009 at 08:07 PM

Application Version : 4.26.1000

Core Rules Database Version : 3849
Trace Rules Database Version: 1803

Scan type : Complete Scan
Total Scan Time : 00:34:20

Memory items scanned : 424
Memory threats detected : 0
Registry items scanned : 3835
Registry threats detected : 0
File items scanned : 45470
File threats detected : 42

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@indextools[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adrevolver[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@zanox[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@euroclick[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@www.active-tracking[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.bauerverlag[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adtech[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@doubleclick[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@serving-sys[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@euros4click[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@mediaplex[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.71i[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ads.quartermedia[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@www.etracker[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@atdmt[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@apmebf[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@smartadserver[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@atwola[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@advertising[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@traffictrack[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.ambiweb[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@xiti[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@track.webtrekk[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ads.heias[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@fastclick[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ads.softure[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@media.adrevolver[1].txt

john.doe · 17.04.2009, 21:43

OK. SuperAntiSpyware deinstallieren und den Kasper hinterher. Sollte der nichts mehr finden, dann hast du es geschafft.

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

Kaspersky Online Scanner
- Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
- Java muss installiert, aktiv und erlaubt sein.
- Bebilderte Anleitung von sundavis.
- Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
- Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
- Die Datenschutzerklärung akzeptieren.
- Programm installieren lassen.
- Update der Signaturen installieren lassen.
- Wenn der Status "Complete" ist,
- Scan-Einstellungen (Settings) Standard lassen
- Links den Link "My Computer" anklicken.
- Scan beginnt automatisch.
- Wenn der Scan fertig ist, auf "View scan report" klicken,
- "Save report as" und Dateityp auf .txt umstellen,
- und auf dem Desktop als Kaspersky.txt speichern.
- Logdatei hier posten.
- Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

lenny_93 · 18.04.2009, 12:06

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Saturday, April 18, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Saturday, April 18, 2009 11:21:09
Records in database: 2058036
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Files scanned: 55790
Threat name: 1
Infected objects: 1
Suspicious objects: 0
Duration of the scan: 01:06:47

File name / Threat name / Threats count
C:\WINDOWS\system32\kbdqbfu.dll Infected: Trojan-PSW.Win32.Agent.mrh 1

The selected area was scanned.

john.doe · 18.04.2009, 12:22

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\kbdqbfu.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

lenny_93 · 18.04.2009, 12:30

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\kbdqbfu.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

john.doe · 18.04.2009, 12:36

Wo kam der denn plötzlich her? Hast du in der Zwischenzeit irgendetwas installiert?

http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas

lenny_93 · 18.04.2009, 12:39

Ich weiß nicht, der war glaub ich bei dem Trojaner mit bei

Ist denn jetzt alles sauber?

john.doe · 18.04.2009, 12:50

Weiß nicht, der letzte Fund gefällt mir gar nicht. Jetzt wird auf "Teufel komm raus" gescannt.

ciao, andreas

lenny_93 · 18.04.2009, 12:53

mhh, soll ich jetzt noch einen Avira Antivir scan machen mit den aggressieven Einstellungen oder noch einen mit Kaspersky Onlinescanner?

john.doe · 18.04.2009, 12:57

Kasper hast du schon, jetzt ist Avira dran.

ciao, andreas

lenny_93 · 18.04.2009, 12:59

okay, Avira scan läuft

Trojanisches Pferd TR/PSW.Agent.mrh

Log-Analyse und Auswertung: Trojanisches Pferd TR/PSW.Agent.mrh