Hallo zusammen,
mein Antivir meldete mir den Trojaner Agent.ccui. Ich habe immer wieder bei jeder Meldung brav bestätigt, diese infizierten Dateien zu löschen. Bei Neustart kommen aber immer wieder Meldungen.

Ich habe mir dann HijackThis heruntergeladen und folgende Logdatei erzeugt:


***********************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:49, on 27.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Nienhaus\Anwendungsdaten\Macromedia\Common\5d6900221.dll""
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\5d6900221.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202241876671
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FA81E151-CFE7-4B18-8B9E-8B96E62BAC11} (DownloadManager) - https://de.web.sonynetservices.com/portal/applets/DownloadManager.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DBD9F43-5579-4CF0-8C94-54F25A2E458D}: NameServer = 192.168.2.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate1c992d7918423f0) (gupdate1c992d7918423f0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O24 - Desktop Component 0: (no name) - http://earthobservatory.nasa.gov/Newsroom/NewImages/Images/ISS013-E-77377_lrg.jpg

--
End of file - 10812 bytes

***********************************************************

Was kann ich tun um den Trojaner auszubremsen?

Vielen Dank im Voraus!

Grüße, die Geo-Exe.

ich hab genau das selbe problem. bei mir findets den trojaner mit antivir so ca 20mal beim start meines pc's
hab schon ad aware und spybot drüberlaufn lassn

Ich habe auch das Problem mit Agent.ccui und ca 20 Antivirwarnungen bei Systemstart.
Soll ich mein HijackThis log auch hier posten?
Die Datei die mich ärgert ist f030001c1.dll, aber da die immer wieder kommt sowie das rundll dafür in der registry, selbst wenn ich es mit CCleaner entferne, sind es wohl eher Symptome als die Ursache.

ANtimallwarebytes oder so habe ich auch durchlaufen lassen ohne dass es geholfen hat und ANtivir habe ich auch 3 mal mit der Einstellung hoch und rootkit durchlaufen lassen.

Ich hoffe ihr könnt mir auch weiterhelfen.
MfG Elokas

Hallo All!

habe evtl. eine Lösung: Zuerst aber eine WARNUNG:

Wer sich unsicher ist, sollte das nicht machen, denn es kann passieren das dann gar nichts mehr geht!
Ausserdem kann ich nicht sagen ob das System nachher wieder sicher ist! Ich bin kein Profi!

Hatte auch das Problem und bin folgendermaßen vorgegangen:

(Windows XP)

Start -> Ausführen -> Eingabe:"msconfig" -> Diagnosesystemstart -> PC neu Starten.
Start -> Ausführen -> Eingabe:"regedit"

Darauf achten das "Arbeitsplatz" blau markiert ist, damit das Durchsuchen derr Registry komplett durchgeführt wird!

Vorher: ->Antivir<- zeigt die befallene -> .dll <- Datei an. Den Namen merken.

Bearbeiten -> Suchen -> Name der -> .dll <- Datei eingeben -> Weitersuchen klicken.

Links sieht man den Ordner, in der die gefundene .dll Datei steht. -> Ordner anklicken und löschen(dies sollte man nur machen, wenn es sich nicht um Systemordner handelt!)

F3 drücken und immer wenn diese .dll Datei gefunden wird, den Ordner löschen.

Wenn man die komplette Registry gereinigt hat -> Antivir starten -> vollständige Systemprüfung.

Ich habe zur Sicherheit auch noch Spybot drüber laufen lassen.

Start -> Ausführen -> Eingabe:"msconfig" -> Normaler Systemstart -> PC neu Starten.

Viel Glück!

Hallo Leidensgenossen und Mit-Forianer,

danke für Deine Tipps, Time-Gate. Mich plagt der TR/agent.ccui jedoch immer noch. Die Einträge in der Registry waren sowohl im abgesicherten Modus als auch beim Diagnosestart innerhalb kürzester Zeit wieder da. Nach dem AntiVir-Scan habe ich HijackThis nochmals darüber laufen lassen und der Eintrag "rundll32.exe "C:\Dokumente und Einstellungen\Me\Anwendungsdaten\Macromedia\Common\69e4801a1.dll"" war wieder da. Es wurden in verschiedenen Verzeichnissen, die alle mit dem Pfad */Macromedia/Common/ endeten, immer wieder DLL-Dateien angelegt, die den agent.ccui Code enthielten. Siehe dazu auch:

http://www.threatexpert.com/report.aspx?md5=895033586459e7f0b86a7e8055ff9a0d

Die Dateinamen sind offenbar variabel. Gelegentlich kommt auch auch 69e4801a18.dll oder 69e4801a2.dll bei mir vor. Auch *.tmp Dateien enthielten den Code. Da muss also irgend ein speicherresidenter Lümmel sein Unwesen treiben, der die Registry überwacht und neue Kopien der Schad-Datei anlegt. Wie kann man sowas abschießen? Im Task-Manager habe ich nichts Verdächtiges gefunden und die gestarteten Dienste sahen auch alle ganz normal aus.

Jetzt stehe ich langsam auf dem Schlauch...

Bin für weitere Tipps aufgeschlossen.

Viele Grüße
Golli

@geo_exe2000

laß mal Malwarebytes Antimalware drüber laufen und Poste die Logdatei hier.

@Rest

Macht eigene Themen auf und Postet die Logdateien von Hijackthis,Malwarebytes dann wird auch euch geholfen.

MfG

Ghost1975

Hi,

mische mich mal kurz ein:
Wo genau sind die 20 Funde? Im HJ-Log taucht nur eine auf...

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\5d6900221.dll"" (User 'LOKALER DIENST')
         

Damit wird sie automatisch beim Systemstart gestartet, läuft bereits wenn Ihr versucht die Einträge zu löschen...
Dann trägt sie sich einfach automatisch wieder ein und stellt sich wieder her...
Daher müssen alle verseuchten DLLs auf einmal erwischt werden (dazu brauch ich allerdings alle Pfade wo sie auftauchen, so das Avenger sie beim Systemstart gleichzeitig ausrotten kann)...

Hier der Versuch einer "generischen" Lösung, bitte USER im Script gegen den richtigen Pfad tauschen (Benutzername)...
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\5d6900221.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Achtung: Da die DLL sich auch als Treiber installiert (midi1, wave1, aux2, mixer2, wave2, aux1, mixer1) kann es zu Problemen kommen.
Die betroffenen Treiberleichen müssen dann noch nachträglich entfernt werden (zu finden unter dem Schlüssel :[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] in der Reg), Windows wird beim Start Fehlermeldungen produzieren...

Daher zuerst mal MAM ausprobieren und dann auf eigene Verantwortung das Script abfackeln und Ergebnis posten!

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\5d6900221.dll

Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\5d6900221.dll"" (User 'LOKALER DIENST')
         

Chris
Ps.: Falls die Bereinigung erfolgreich war, muss die Systemwiederherstellung bereinigt werden (dadurch dass es sich als Treiber eingetragen hat, ist die DLL mitgesichert worden... 8 )
Systemwiederherstellung löschen
http://www.systemwiederherstellung-d...indows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Nachinstallieren der Systemwiederherstellung:
C:\WINDOWS\inf\sr.inf mit rechts anzuklicken und installieren wählen.

System wiederherstellen:
Alle Anwendungen schließen, am besten Offline und Guard/Firewall ausschalten!.

Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung
dort "Computer zu einem früheren Zeitpunkt wiederherstellen"
->Weiter
Dann kommst Du in eine Ansicht mit Kalender, wo vorhandene Systemwiederherstellungspunkte fett markiert sind (ggf. blättern), dort einen Auswählen und ->Weiter, dann kommt eine Sicherheitsabfrage und dann gehts rund (nach weiter).

Hallo nochmal!
Die Lösung mit dem Avenger hat bei mir funktioniert. Da die Pfade und Dateinamen andere waren (vier verschiedene Pfade in LocalService, NetworkService, Besitzer, DefaultUser und *.tmp-Dateien in Windows\Temp), habe ich das Script entsprechend angepasst und anschließend noch die Registry nach den Dateinamen durchsucht und die Einträge gelöscht. Dadurch war dann auch die Fehlermeldung von Windows bzgl. fehlender Treiber weg.
Die einzige Lösung für die Entfernung dieses Trojaners ist also, die Malware-Dateien mit Avenger o.ä. zu löschen, bevor diese in den Speicher geladen werden, sonst werden die Registry-Einträge und DLLs sofort wieder neu geschrieben.

Herzlichen Dank für Eure Tipps!

Greeetz Golli

Hi,

poste bitte mal die kompletten Pfade die Du verwendest hast, wir bauen die einfach mal in das Script als "Blaupause" ein...

chris