Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/PSW.Agent.mrh

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.05.2009, 20:23   #1
van_baily
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



Hallo, bin neu hier und habe euch durch google gefunden. Die Forenregeln habe ich durchgelesen und die empfohlenen Scans gemacht. Ich habe das Problem seit einigen Tagen, dass ich immer wenn ich Mozilla Firefox das erste Mal öffne eine Warnmeldung von AVIRA Antivir bekomme. Ich habe hier auch in einem anderen Thread gelesen in dem empfohlen wird den PC zu formatieren. Das ist der Link: http://ww*.trojaner-board.de/72040-trojaner-tr-psw-agent-mrh.html
Da ich zwar nicht allzu viele Daten auf meinem PC habe sollte das nicht das Problem sein, allerdings wollte ich erstmal ein paar Meinungen und RAtschläge hierzu hören. CCleaner habe ich bereits ausgeführt. Danach Malwarebytes Anti-Malware - kein Fund. Hier ist erstmal der Report von Antivir:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 2. Mai 2009 21:04

Es wird nach 1373854 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ****

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 16:17:46
ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 16:36:18
ANTIVIR3.VDF : 7.1.3.141 21504 Bytes 02.05.2009 16:36:19
Engineversion : 8.2.0.160
AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 16:36:20
AESCRIPT.DLL : 8.1.1.79 385403 Bytes 02.05.2009 16:36:19
AESCN.DLL : 8.1.1.10 127348 Bytes 13.04.2009 13:02:46
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.14 397685 Bytes 23.04.2009 15:09:12
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.02.2009 18:26:44
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 26.04.2009 17:44:19
AEHELP.DLL : 8.1.2.2 119158 Bytes 28.02.2009 18:26:42
AEGEN.DLL : 8.1.1.39 348532 Bytes 23.04.2009 15:09:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 16.04.2009 18:44:42
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 23.04.2009 15:09:10
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 2. Mai 2009 21:04

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbucoms.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Utility.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ezprint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxbumon.exE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\winetln.sys.VIR
[0] Archivtyp: OVL
--> Object
[FUND] Ist das Trojanische Pferd TR/PSW.Agent.mrh


Ende des Suchlaufs: Samstag, 2. Mai 2009 21:14
Benötigte Zeit: 09:45 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3620 Verzeichnisse wurden überprüft
141217 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
141215 Dateien ohne Befall
1710 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Und hier hätte ich noch das Logfile von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:45, on 02.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark 6200 Series\lxbumon.exe
C:\Programme\Lexmark 6200 Series\ezprint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\GIGABYTE\VGA Utility\Utility.exe
C:\WINDOWS\system32\lxbucoms.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxbumon.exe] "C:\Programme\Lexmark 6200 Series\lxbumon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 6200 Series\ezprint.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: GIGABYTE VGA Utility.lnk = C:\Programme\GIGABYTE\VGA Utility\Utility.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapte.lnk = C:\Programme\TRENDnet\TEW-441PC_443PI\TRENDnet.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D60F3DEA-6E0D-40A4-8756-19A9784F6C86}: NameServer = 192.168.178.1
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6172 bytes

Ich hoffe ihr könnt mir weiterhelfen, denn diese ewigen Fehlermeldungen machen mich noch ganz

Alt 04.05.2009, 04:53   #2
van_baily
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



weiß keiner weiter???
__________________


Alt 12.05.2009, 17:56   #3
van_baily
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



bin kurz davor den rechner plattzumachen... hat nicht wenigstens einer mal nen kommentar zu der ganzen sache??? bitte
__________________

Alt 12.05.2009, 22:31   #4
.keNNy#
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



Hallo und
Lade die Datei, die als Malware erkannt wird bitte bei VirusTotal hoch und verlinke das Ergebnis.
Lade dir SUPERAntiSpyware und führe einen komplett Scan durch.
Dein HijackThis-log ist soweit sauber.
Lade dir zusätzlich noch F-Secure Blacklight und führe einen Scan durch.
Dann kannste noch einen Kaspersky Onlinescan durchführen:
1.) Internet Explorer öffnen (nicht Firefox)
2.) Kaspersky.de
3.) klick auf "Kaspersky Online-Scanner jetzt starten"
4.) es öffnet sich ein Fenster--->Akzeptieren
5.) das Add-On ausführen (siehe Bild)--->Datenbank wird aktualisiert
6.) klick auf "Weiter"--->Arbeitsplatz auswählen
7.) Ergebnis posten


.keNNy#

Geändert von .keNNy# (12.05.2009 um 22:58 Uhr)

Alt 12.05.2009, 22:59   #5
.keNNy#
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



*EDIT*

Hier noch das Bild für den Online-Scan

Miniaturansicht angehängter Grafiken
Trojaner TR/PSW.Agent.mrh-unbenannt.jpg  

Alt 20.05.2009, 04:36   #6
van_baily
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



Danke für die Antwort.
Malware, Super AntiSpyware und F-Secure konnten nichts finden.
Allerdings konnte Kaspersky etwas finden. Hier das Protokoll von Kaspersky:
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 20. Mai 2009 05:33:35
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 19/05/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2198945
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 53371
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 07:28:13

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick Roth\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-5-19-2009( 20-1-45 ).SDB Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Desktop\ipscan.exe Infizierte Objekte: not-a-virus:NetTool.Win32.Portscan.c übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater5\aum.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Patrick ****\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log Das Objekt ist gesperrt übersprungen
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log Das Objekt ist gesperrt übersprungen
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log Das Objekt ist gesperrt übersprungen
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{925EFFAB-D76F-4924-9AB0-79301EDB3591}\RP59\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\winetln.sys.VIR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Alt 20.05.2009, 16:01   #7
.keNNy#
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



Lade diese Dateien bitte bei VirusTotal hoch
Zitat:
C:\Dokumente und Einstellungen\Patrick ****\Desktop\ipscan.exe
C:\WINDOWS\system32\drivers\winetln.sys.VIR
Verlinke dann die Ergebnisse

Zitat:
Ich habe hier auch in einem anderen Thread gelesen in dem empfohlen wird den PC zu formatieren. Das ist der Link: http://ww*.trojaner-board.de/72040-t...agent-mrh.html
Du musst den Link schon richtig lesen
Der Threadposter hat einen Keygen benutzt und sich damit wohl ein Backdoorprogramm auf den Rechner geholt.
Da reagieren die Kompetenzler praktisch allergisch drauf

Geändert von .keNNy# (20.05.2009 um 16:09 Uhr)

Alt 20.05.2009, 16:27   #8
van_baily
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



danke erst mal für die hilfe...
Hier die Ergebnisse von virustotal:


Datei ipscan.exe empfangen 2009.05.19 19:50:40 (CET)
Status: Beendet
Ergebnis: 17/41 (41.46%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared - - -
AhnLab-V3 - - -
AntiVir - - -
Antiy-AVL - - NetTool/Win32.Portscan
Authentium - - W32/PortScan
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - PUA.NetTool.IPScan
Comodo - - -
DrWeb - - Tool.AngryIpscan
eSafe - - Win32.Banker
eTrust-Vet - - -
F-Prot - - W32/PortScan
F-Secure - - NetTool.Win32.Portscan.c
Fortinet - - HackerTool/Angry
GData - - -
Ikarus - - -
Jiangmin - - AdWare/Portscan.b
K7AntiVirus - - -
Kaspersky - - not-a-virus:NetTool.Win32.Portscan.c
McAfee - - potentially unwanted program PortScan-Angry
McAfee+Artemis - - potentially unwanted program PortScan-Angry
McAfee-GW-Edition - - -
Microsoft - - Tool:Win32/Angryscan.A
NOD32 - - Win32/NetTool.Portscan.C
Norman - - -
nProtect - - -
Panda - - Hacktool/AngryScan
PCTools - - -
Prevx - - -
Rising - - -
Sophos - - Angry IP scanner
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - Not_a_virus:NetTool.PortScan.111104
VirusBuster - - -
weitere Informationen
MD5: 6c1bcf0b1297689c8c4c12cc70996a75
SHA1: 9d99a2446aa54f00af0b049f54afa52617a6a473
SHA256: 40dc213fe4551740e12cac575a9880753a9dacd510533f31bd7f635e743a7605
SHA512: 7edf53adf8db463658aa4a966cf9e22bf28583cb0ca4317af19e90d85232b6cb627e810033155383948d36ad6a1a14f32b3381d10c7cd6c4bd0482c974c129db
[/SIZE]

Datei winetln.sys.VIR empfangen 2009.05.20 17:21:13 (CET)
Status: Beendet
Ergebnis: 19/39 (48.72%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.20 Trojan-PWS.Win32.Agent!IK
AhnLab-V3 5.0.0.2 2009.05.20 -
AntiVir 7.9.0.168 2009.05.20 TR/PSW.Agent.mrh
Antiy-AVL 2.0.3.1 2009.05.20 -
Authentium 5.1.2.4 2009.05.19 -
Avast 4.8.1335.0 2009.05.19 Win32:Trojan-gen {Other}
AVG 8.5.0.336 2009.05.20 PSW.OnlineGames3.BKJ
BitDefender 7.2 2009.05.20 Trojan.Downloader.Agent.AAJI
CAT-QuickHeal 10.00 2009.05.20 -
ClamAV 0.94.1 2009.05.20 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.20 -
eSafe 7.0.17.0 2009.05.19 -
eTrust-Vet 31.6.6513 2009.05.20 Win32/Juso.A
F-Prot 4.4.4.56 2009.05.19 -
F-Secure 8.0.14470.0 2009.05.20 Trojan-PSW.Win32.Agent.mrh
Fortinet 3.117.0.0 2009.05.20 -
GData 19 2009.05.20 Trojan.Downloader.Agent.AAJI
Ikarus T3.1.1.49.0 2009.05.20 Trojan-PWS.Win32.Agent
K7AntiVirus 7.10.739 2009.05.19 Trojan-PSW.Win32.Agent.mrh
Kaspersky 7.0.0.125 2009.05.20 Trojan-PSW.Win32.Agent.mrh
McAfee 5620 2009.05.19 -
McAfee+Artemis 5620 2009.05.19 -
McAfee-GW-Edition 6.7.6 2009.05.20 Trojan.PSW.Agent.mrh
Microsoft 1.4602 2009.05.20 TrojanSpy:Win32/Agent
NOD32 4091 2009.05.20 Win32/PSW.Agent.MRH
Norman 6.01.05 2009.05.20 -
nProtect 2009.1.8.0 2009.05.20 Trojan-PWS/W32.Agent.483856
Panda 10.0.0.14 2009.05.19 -
PCTools 4.4.2.0 2009.05.20 -
Prevx 3.0 2009.05.20 -
Rising 21.30.20.00 2009.05.20 -
Sophos 4.41.0 2009.05.20 Troj/PSW-GT
Sunbelt 3.2.1858.2 2009.05.19 -
Symantec 1.4.4.12 2009.05.20 Infostealer
TheHacker 6.3.4.1.328 2009.05.20 -
TrendMicro 8.950.0.1092 2009.05.20 TSPY_AGENT.AABI
VBA32 3.12.10.5 2009.05.20 Trojan-PSW.Win32.Agent.mrh
ViRobot 2009.5.20.1743 2009.05.20 -
weitere Informationen
File size: 483856 bytes
MD5...: 66bd7cddcdf19f127a20590bd64d6ce3
SHA1..: 4d0864dc797c1616e010d4af8ce0887e0a4ed4c3
SHA256: 0177bf9c7918f04c59ee7c2c7791f7efac983f606e19b2f2bff11b73c70b2af0
SHA512: a68f16834c98b8302760f01e83e5ab888fa18ffdfd9232e45f23ba61efd0a0b5
dd5fa8aaa79384870016f2268f0c93ad8a956b5212e4e41ee6d16de105dbddb1
ssdeep: 6144:Fccq6ZIv0tUTNeYBcNB3DhVrhnfi/xRnZ/Xb5ktfcn/aBDy/8yODKVf4aNx
/xtdi:Gj6ZbgNR+zrh4rnVXbqtk/a4/8jaNuPt
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd000
timedatestamp.....: 0x49c5907c (Sun Mar 22 01:12:28 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8c86 0x8e00 6.51 4dc5da20ad3426f02f7a8e3c48117a65
.rdata 0xa000 0x1414 0x1600 3.80 c5c4014b0e487d2901ad6407ca910d17
.data 0xc000 0x46c 0x200 0.50 7a77025c7811d35a396dcf801bdfca56
INIT 0xd000 0x6c4 0x800 4.92 90d2ca2832abc9401fcc5f157d3fcadc
.rsrc 0xe000 0x2c8 0x400 2.37 1462afffb3b77e4bdc6ce4eec165d505
.reloc 0xf000 0xa90 0xc00 5.58 21a1548b6cf281b8e1ff15c6f9244be2

( 2 imports )
> ntoskrnl.exe: DbgPrint, ObReferenceObjectByHandle, ObOpenObjectByName, RtlInitUnicodeString, ExRaiseStatus, ExAllocatePoolWithTagPriority, ExFreePoolWithTag, RtlCopyUnicodeString, ExAllocatePoolWithTag, ZwQueryInformationProcess, wcslen, RtlCompareUnicodeString, KeReleaseMutex, KeWaitForSingleObject, ZwSetInformationProcess, ZwDuplicateToken, ZwOpenProcessToken, ZwOpenProcess, ZwEnumerateKey, ZwDeleteKey, ZwOpenKey, wcsncat, wcscat, ZwLoadDriver, ZwSetValueKey, ZwCreateKey, IoDeleteDevice, RtlImageDirectoryEntryToData, KeDetachProcess, KeAttachProcess, PsLookupProcessByProcessId, ZwAllocateVirtualMemory, ObfDereferenceObject, wcscpy, ZwQueryInformationThread, ZwQuerySystemInformation, memmove, _local_unwind2, KeServiceDescriptorTable, KeInitializeMutex, ZwReadFile, ZwCreateFile, ZwSetInformationFile, ZwWriteFile, ZwQueryInformationFile, PsSetLoadImageNotifyRoutine, PsSetCreateProcessNotifyRoutine, ZwQueryValueKey, IofCompleteRequest, RtlImageNtHeader, IoCreateSymbolicLink, IoCreateDevice, swprintf, SeCreateClientSecurity, KeGetCurrentThread, ZwMapViewOfSection, ZwCreateSection, ZwUnmapViewOfSection, KeTickCount, KeBugCheckEx, ZwClose, _except_handler3, ZwOpenFile, wcsncmp
> HAL.dll: KfRaiseIrql, KfLowerIrql, KeGetCurrentIrql

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch

Alt 20.05.2009, 16:35   #9
Larusso
/// Selecta Jahrusso
 
Trojaner TR/PSW.Agent.mrh - Standard

Trojaner TR/PSW.Agent.mrh



Vielleicht solltest du den User auch mal erklären das ein infiziertes System neu aufgesetzt gehört . Das ist immer der Sicherste und meist auch der Schnellere Weg

Die Bereinigung ist immer der zweite Weg was gewählt werden sollte und ist denoch mit Restrisiken verbunden die du vl auch erläutern solltest

mfg

Antwort

Themen zu Trojaner TR/PSW.Agent.mrh
0 bytes, antivir, antivirus, avgnt.exe, avira, bho, erste mal, firefox, firefox.exe, gigabyte, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, logon.exe, malwarebytes anti-malware, malwarebytes' anti-malware, mozilla, nmindexstoresvr.exe, nt.dll, problem, prozesse, registry, rthdcpl.exe, rundll, sched.exe, senden, services.exe, software, suchlauf, svchost.exe, trojaner, verweise, virus, virus gefunden, warnung, windows, wireless lan, wuauclt.exe




Ähnliche Themen: Trojaner TR/PSW.Agent.mrh


  1. Trojanerproblem : Backdoor.Agent und Trojaner.Agent
    Log-Analyse und Auswertung - 06.06.2013 (8)
  2. Trojaner Agent.7.BC
    Log-Analyse und Auswertung - 20.04.2013 (21)
  3. WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (15)
  4. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  5. wigon.PB Trojaner und PSW.Agent.NUS Trojaner von ESET im Arbeitsspeicher gefunden
    Log-Analyse und Auswertung - 27.02.2013 (16)
  6. Trojaner.agent.ck - PLS HELP
    Log-Analyse und Auswertung - 04.02.2013 (15)
  7. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  8. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  9. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  10. 7 Trojaner gefunden. u.a. TR/Agent.692736, TR/Agent.AO.808, TR/Disabler.NAJ.44..
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (2)
  11. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  12. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  13. Trojaner DR/Agent.BQ.2 und TR/Agent.BI
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (2)
  14. Trojaner TR/Agent.Bl / Droppers DR/Agent.BQ.2
    Log-Analyse und Auswertung - 06.05.2005 (0)
  15. 3 Trojaner: Agent NBU / Agent.BI und WinShow.NAL - kriegs nicht gelöscht :(
    Log-Analyse und Auswertung - 20.03.2005 (1)
  16. Trojaner TR/Agent.CP
    Log-Analyse und Auswertung - 14.03.2005 (2)
  17. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)

Zum Thema Trojaner TR/PSW.Agent.mrh - Hallo, bin neu hier und habe euch durch google gefunden. Die Forenregeln habe ich durchgelesen und die empfohlenen Scans gemacht. Ich habe das Problem seit einigen Tagen, dass ich immer - Trojaner TR/PSW.Agent.mrh...
Archiv
Du betrachtest: Trojaner TR/PSW.Agent.mrh auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.