| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe! "Trojan.Agent" und "Rogue.Residue" auf dem Rechner.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.04.2009, 13:40
| #1 |
| |  Hilfe! "Trojan.Agent" und "Rogue.Residue" auf dem Rechner. Hallo liebe Anti-Trojaner-Gemeinde! Ich habe seit 1...2 Wochen folgendes Problem: - während ich im I-Net surfe macht mein Firefox ständig irgendwelche Werbeseiten auf (z.B Quelle.de) - Firefox hängt sich nach paar Minuten im I-Net auf, obwohl angezeigt wird das die seite geladen wird, passier nichts - wenn ich Firefox beendet habe, läuft immer eine firefox.exe als Prozess - wenn ich mein Rechner herunterfahre kommt eine Meldung, dass eine "nsAppSHELL" im Hintergrund läuft und sofort beendet werden muss Daraufhin habe ich mehrmals mein System mit "Sophos-Anti-Virus" überprüft, aber nichts gefunden. Nachdem ich mich in die Problematik eingelesen hab, hab ich folgende Programme installiert habe, "HiJackThis" und "Malwarebytes". Und entdeckt, dass ich - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4 (Trojan.Agent) - HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) auf dem Rechner hab. Weiß ich nicht was ich weiter machen soll und wie ich die Trojaner (oder wie auch immer) los werde. Hier ist mein mbam-log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2024
Windows 5.1.2600 Service Pack 2
22.04.2009 13:43:55
mbam-log-2009-04-21 (21-03-30).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 168071
Laufzeit: 37 minute(s), 1 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:58:58, on 22.04.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\wmwgq.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\WINDOWS\system32\studnet\studnet.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://raidrush.org/get/Starcraft R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [wmwgq] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\wmwgq.exe" wmwgq O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{572B2638-C54B-4F57-B1F7-C267B6E08D10}: NameServer = xxx.xx.xx.x O17 - HKLM\System\CCS\Services\Tcpip\..\{F2264597-5233-43F1-97CB-7D66825A8B10}: NameServer = xxx.xx.xx.x O17 - HKLM\System\CS1\Services\Tcpip\..\{572B2638-C54B-4F57-B1F7-C267B6E08D10}: NameServer = xxx.xx.xx.x O17 - HKLM\System\CS2\Services\Tcpip\..\{572B2638-C54B-4F57-B1F7-C267B6E08D10}: NameServer = xxx.xx.xx.x O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe -- End of file - 5140 bytes Danke im Voraus! Viele Grüße Alex |
| Themen zu Hilfe! "Trojan.Agent" und "Rogue.Residue" auf dem Rechner. |
| administrator, adobe, bho, browser, desktop, einstellungen, explorer, firefox, firefox.exe, hijack, hijackthis, hkus\s-1-5-18, hotkey, hängt, icq, internet, internet explorer, logfile, malwarebytes' anti-malware, microsoft, opera, problem, programme, registrierungsschlüssel, senden, software, system, windows xp |
Baum-Darstellung