| |
| |||||||
Log-Analyse und Auswertung: Trojaner: trojan-spy.win32.agent.amjgWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.04.2009, 22:10
| #1 |
| |  Trojaner: trojan-spy.win32.agent.amjg Hallo, ich habe seit gestern schwer mit einem Trojaner zu kämpfen. Folgendes waren die Symptome: zuerst sollten Dateien bestehend aus einer längeren wirren zahlenfolge.exe (z.B. 3076436721.exe) gestartet werden, was auf meinem System aber zu einem Fehler führte. das machte mich stutzig, hab antivir laufen lassen. hat auch einiges gefunden, konnte aber nur wenig davon beseitigen. dann gab’s unten im system-tray ein Symbol roter kreis mit weißem kreuz der zu irgendwelchen links führte. auch das hab ich beseitigen können. es hackt jetzt jedoch immer noch an folgendem: der vermutete Virus erstellt immer wieder drei Dateien autochk.dll, chkdisk.dll, protect.dll in verschiedenen Verzeichnissen auf der Systempartition. manchmal auch eine msb.dll und eine lmppcsetup.exe; letztere lassen sich aber relativ einfach löschen. hab in der regestrie mehrere key ausgemacht die die ein oder andere dieser Dateien autostarten, löschen scheint aber nix zu bringen. Kaspersky identifiziert alle genannten Dateien als mit trojan-spy.win32.agent.amjg infiziert und scheint die Infektionen auch beseitigen zu können. aber nach jedem Neustart sind mehrere bis alle dieser Dateien wieder da, nebst regestrie einträgen... hab’s auch schon mit malewarebytes anti-maleware versucht. hat einiges entdeckt, ändert aber nichts am Problem. ich hoffe, dass mir hier jemand helfen kann, format c: zu umgehen... Hier der HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:46:14, on 28.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\windows\Explorer.EXE C:\WINDOWS\system32\PuXpMan2.exe C:\WINDOWS\system32\umonit.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\windows\system32\RUNDLL32.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe D:\Programme\Kaspersky Anti-Virus 2009\avp.exe C:\windows\system32\rundll32.exe C:\windows\system32\rundll32.exe C:\windows\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe D:\Programme\Kaspersky Anti-Virus 2009\avp.exe D:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\windows\system32\nvsvc32.exe C:\windows\system32\svchost.exe C:\Programme\Gemeinsame Dateien\ParetoLogic\PLAS\plasservice.exe D:\Programme\MMTaskbar\MultiMon.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe \?\globalroot\C:\windows\system32\rundll32.exe D:\Programme\Teamspeak2_RC2\TeamSpeak.exe D:\Programme\Kaspersky Anti-Virus 2009\avp.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKLM\..\Run: [autochk] rundll32.exe C:\windows\system32\autochk.dll,_IWMPEvents@16 O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: ChkDisk.lnk = ? O4 - Global Startup: MultiMon Taskbar.lnk = D:\Programme\MMTaskbar\MultiMon.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inethttpfilter.dll O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195309577812 O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195311094421 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\mzvkbd3.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Programme\Gemeinsame Dateien\ParetoLogic\PLAS\plasservice.exe -- End of file - 7164 bytes Vielen Dank im vorraus für jede Hilfe! Edit: Hab ich vergessen: Systemwiederherstellung ist natürlich ausgeschaltet! Geändert von Caravan (28.04.2009 um 22:20 Uhr) |
| Themen zu Trojaner: trojan-spy.win32.agent.amjg |
| 1.exe, antivir, antivir guard, askbar, avira, desktop, excel, f-secure, fehler, firefox, format, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, immer wieder, internet, internet explorer, kaspersky, malewarebytes anti-maleware, mozilla, object, rundll, schutz, software, system, teamspeak, trojaner, virus, weißem kreuz, windows, windows xp |
Baum-Darstellung