|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.Abt.34Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.06.2009, 18:19 | #1 |
| TR/Agent.Abt.34 Hallo, ich hab seit eben ein Problem ich wollte meinen usb Stick in meinen Laptop einstecken, den ich vorher in der Schule an 2 Pcs angeschlossen hatte anstecken, doch dann kamm die Meldung von Antivir, dass der Trojaner TR/Agent.Abt:34 in der F:/Autorun.inf ist. Hab die Datei sofort in die Quarantäne geschoben und den Stick rausgenommen. Dann hab ich nochmal mit Antivir und Mbam gescannt und es wurde nichts gefunden. Könntet ihr echu mal die Logs angucken, ob mein Pc noch infiziert ist? Avira AntiVir Premium Erstellungsdatum der Reportdatei: Montag, 29. Juni 2009 17:32 Es wird nach 1433828 Virenstämmen gesucht. Lizenznehmer : ... Seriennummer : ... Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : ... Computername : LAPTOP Versionsinformationen: BUILD.DAT : 9.0.0.442 21381 Bytes 09.06.2009 16:45:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:12 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:46 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:42:00 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:38 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 10:11:54 ANTIVIR2.VDF : 7.1.4.133 2048 Bytes 24.06.2009 10:11:58 ANTIVIR3.VDF : 7.1.4.152 142848 Bytes 29.06.2009 15:11:44 Engineversion : 8.2.0.199 AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:06 AESCRIPT.DLL : 8.1.2.10 418171 Bytes 26.06.2009 13:10:30 AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:02 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:42 AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:22 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18.06.2009 05:39:06 AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26.06.2009 17:44:34 AEHELP.DLL : 8.1.3.6 205174 Bytes 12.06.2009 14:24:38 AEGEN.DLL : 8.1.1.46 348533 Bytes 19.06.2009 17:13:40 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.6.12 180599 Bytes 27.05.2009 15:07:22 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:58 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:56 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:30 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:06 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:38 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:06 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:50 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:30 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:22 RCIMAGE.DLL : 9.0.0.28 2623745 Bytes 19.05.2009 13:23:34 RCTEXT.DLL : 9.0.37.0 90881 Bytes 17.04.2009 08:41:40 Konfiguration für den aktuellen Suchlauf: Job Name..............................: ShlExt Konfigurationsdatei...................: C:\DOKUME~1\...~1\LOKALE~1\Temp\233b565e.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 29. Juni 2009 17:32 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Ende des Suchlaufs: Montag, 29. Juni 2009 18:01 Benötigte Zeit: 28:41 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7497 Verzeichnisse wurden überprüft 278337 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 278335 Dateien ohne Befall 7343 Archive wurden durchsucht 2 Warnungen 2 Hinweise Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2350 Windows 5.1.2600 Service Pack 3 29.06.2009 18:34:35 mbam-log-2009-06-29 (18-34-35).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 201225 Laufzeit: 31 minute(s), 58 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:14:34, on 29.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161189862171 O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 6728 bytes Adobe Acrobat 4.0 Adobe Flash Player 10 Plugin Adobe Flash Player ActiveX Adobe Photoshop 5.0 Limited Edition Adobe Reader 9.1.2 - Deutsch Adobe Shockwave Player 11.5 Apple Mobile Device Support Apple Software Update ASUS WLAN Card Utilities/Driver Asus_A6_ScreenSaver ASUSDVD ATK0100 ACPI UTILITY Audiograbber 1.83 SE AutoCAD 2002 - Deutsch Avira AntiVir Premium Battlefield Heroes Bonjour Canon EOS Kiss REBEL 300D WIA-Treiber CCleaner (remove only) CorelDRAW 10 CorelDRAW 10 Defraggler (remove only) Die*Sims™*3 EA Download Manager ElsterFormular 2005/2006 ElsterFormular 2006/2007 ElsterFormular 2007/2008 Eumex 200 Free YouTube to Mp3 Converter version 3.1 Garmin POI Loader Google Earth HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix für Windows Internet Explorer 7 (KB947864) Hotfix für Windows Media Player 11 (KB939683) Hotfix für Windows XP (KB942288-v3) Hotfix für Windows XP (KB952287) Hotfix für Windows XP (KB961118) HotSpot Manager HP PrecisionScan Pro 3.0 Install(GE) iTunes Java(TM) 6 Update 13 Malwarebytes' Anti-Malware Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - deu Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft ActiveSync 3.8 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft User-Mode Driver Framework Feature Pack 1.5 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual J# .NET Redistributable Package 1.1 Microsoft WSE 3.0 Runtime Moorhuhn Total 4 Motorola SM56 Data Fax Modem Mozilla Firefox (3.0.11) MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) Nero Digital Nero OEM Nokia Connectivity Cable Driver Nokia PC Suite Nokia PC Suite NVIDIA Drivers Pacific Poker PC Connectivity Solution PokerStars Power4 Gear PrintParade Studio PunkBuster Services QuickTime Realtek High Definition Audio Driver REALTEK PCIE NIC Driver ScanSoft PaperPort Viewer 7.0 Sicherheitsupdate für Step by Step Interactive Training (KB898458) Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Internet Explorer 7 (KB928090) Sicherheitsupdate für Windows Internet Explorer 7 (KB929969) Sicherheitsupdate für Windows Internet Explorer 7 (KB931768) Sicherheitsupdate für Windows Internet Explorer 7 (KB933566) Sicherheitsupdate für Windows Internet Explorer 7 (KB937143) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127) Sicherheitsupdate für Windows Internet Explorer 7 (KB939653) Sicherheitsupdate für Windows Internet Explorer 7 (KB942615) Sicherheitsupdate für Windows Internet Explorer 7 (KB944533) Sicherheitsupdate für Windows Internet Explorer 7 (KB950759) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB963027) Sicherheitsupdate für Windows Internet Explorer 8 (KB969897) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows Media Player 10 (KB917734) Sicherheitsupdate für Windows Media Player 10 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB936782) Sicherheitsupdate für Windows Media Player 11 (KB954154) Sicherheitsupdate für Windows XP (KB923561) Sicherheitsupdate für Windows XP (KB938464) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB946648) Sicherheitsupdate für Windows XP (KB950760) Sicherheitsupdate für Windows XP (KB950762) Sicherheitsupdate für Windows XP (KB950974) Sicherheitsupdate für Windows XP (KB951066) Sicherheitsupdate für Windows XP (KB951376) Sicherheitsupdate für Windows XP (KB951376-v2) Sicherheitsupdate für Windows XP (KB951698) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB952004) Sicherheitsupdate für Windows XP (KB952954) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956572) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB959426) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Sicherheitsupdate für Windows XP (KB960803) Sicherheitsupdate für Windows XP (KB961373) Sicherheitsupdate für Windows XP (KB961501) Sicherheitsupdate für Windows XP (KB968537) Sicherheitsupdate für Windows XP (KB969898) Sicherheitsupdate für Windows XP (KB970238) Spelling Dictionaries Support For Adobe Reader 9 Synaptics Pointing Device Driver T-Eumex KommunikationsCenter Tobit.Software clipinc.fx T-Online 6.0 T-Online WLAN-Access Finder Uninstall 1.0.0.1 Update for Microsoft .NET Framework 3.5 SP1 (KB963707) Update für Windows Internet Explorer 8 (KB971180) Update für Windows XP (KB951072-v2) Update für Windows XP (KB951978) Update für Windows XP (KB955839) Update für Windows XP (KB967715) Volo View Express WarRock Wichtiges Update für Windows Media Player 11 (KB959772) Windows Internet Explorer 8 Windows Media Format 11 runtime Windows Media Format 11 runtime Windows Media Player 11 Windows Media Player 11 Windows XP Service Pack 3 Windows-Treiberpaket - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0) Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) Windows-Treiberpaket - Nokia Modem (02/15/2007 3.1) Windows-Treiberpaket - Nokia Modem (05/24/2007 6.84.0.1) WinFlash WinRAR XML Paper Specification Shared Components Language Pack 1.0 Ich hoffe ihr könnt mir bald helfen |
03.07.2009, 17:56 | #2 |
| TR/Agent.Abt.34 Will mir denn keiner helfen?
__________________ |
04.07.2009, 17:18 | #3 |
| TR/Agent.Abt.34 *push* -.-
__________________ |
04.07.2009, 17:44 | #4 |
| TR/Agent.Abt.34 1.) Deinstalliere:
Code:
ATTFilter Alle R0, R1, O2, O8, O9, O14 und O16-Einträge O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 4.) GMER - Rootkit Detection
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
05.07.2009, 10:26 | #5 |
| TR/Agent.Abt.34 So, ich hab jetzt alles desinstalliert, neues java installiert, die Einträge gefixt und GMER durchlaufen lassen. Da steht jetzt was mit *hidden* und so GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-07-05 11:23:06 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT F6AB4B76 ZwCreateKey SSDT F6AB4B6C ZwCreateThread SSDT F6AB4B7B ZwDeleteKey SSDT F6AB4B85 ZwDeleteValueKey SSDT F6AB4B8A ZwLoadKey SSDT F6AB4B58 ZwOpenProcess SSDT F6AB4B5D ZwOpenThread SSDT F6AB4B94 ZwReplaceKey SSDT F6AB4B8F ZwRestoreKey SSDT F6AB4B80 ZwSetValueKey SSDT F6AB4B67 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- ? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text D:\Tobit ClipInc\Server\ClipInc-Server.exe[300] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 0049F8A0 D:\Tobit ClipInc\Server\ClipInc-Server.exe ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Processes - GMER 1.0.15 ---- Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1192] 0x16080000 Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1232] 0x16080000 Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x16080000 Library C:\Programme\Bonjour\mdnsNSP.dll (*** hidden *** ) @ C:\WINDOWS\system32\spoolsv.exe [1760] 0x16080000 ---- EOF - GMER 1.0.15 ---- neues hjt: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:26:13, on 05.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\WINDOWS\ATK0100\ATKOSD.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Dokumente und Einstellungen\Toni Wirz\Eigene Dateien\Downloads\Trallala.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user') O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 3766 bytes |
08.07.2009, 07:57 | #6 |
| TR/Agent.Abt.34 *pushhhhhhhhhhhhh* |
08.07.2009, 15:56 | #7 |
| TR/Agent.Abt.34 Der Rechner scheint sauber, falls du noch einen letzten Scan machen möchtest, dann Systemdetails mit RSIT prüfen
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
09.07.2009, 09:06 | #8 |
| TR/Agent.Abt.34 info.txt http://www.materialordner.de/4rgluRqcwJAdaak0L36oOluRPDKFB4wv.html log.txt http://www.materialordner.de/gBA6vCJc2eKU4XZpke8HkTTGH3ciMLaU.html |
09.07.2009, 16:01 | #9 | |
| TR/Agent.Abt.34 Wenn du noch zur Schule gehst, was machst du dann mit den Elsterformularen aus dem Jahr 2004? Wie geht es dem Rechner? Die Logs sind sauber. Zitat:
Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete: EagleNT Files to delete: C:\WINDOWS\system32\drivers\EagleNT.sys C:\WINDOWS\Applian FLV Player Uninstall Log.txt Folders to delete: C:\rsit C:\Config.Msi
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
09.07.2009, 19:37 | #10 |
| TR/Agent.Abt.34 Das ist der alte Laptop von meinem Vater und ich weiß nicht ob der das noch braucht^^ Ich musste den Stick vor ner Woche nochmal an den Pc anstecken, jetzt ist der Virus wieder drauf. Ich hab mal geguck, auf dem Pc sind 2 Datien, eine AutoRun.inf und eine RavMon.exe, die auf jeden Wechseldatenträger übertragen werden. Am besten lösche ich die jetzt mit nem Linux live system, oder? Ach das mit dem Bildschirmschoner kp was der wieder mal angestellt hat^^ |
09.07.2009, 19:55 | #11 | |||
| TR/Agent.Abt.34Zitat:
Zitat:
Um die Rechner vor einer erneuten Infektion zu bewahren, deaktiviere das Autoplay von Windows (geht automatisch, wenn du ComboFix laufen lässt). Dann säubere alle externen Datenträger. Die externen Datenträger kannst du mit dem Flash Disinfector schützen => http://www.trojaner-board.de/441301-post16.html Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
10.07.2009, 07:34 | #12 |
| TR/Agent.Abt.34 Auf dem Usb stick ist der virus mit der AutoRun.inf und RavMon.exe drauf. Jeder Wechseldatenträger wird damit infiziert, der an den Pc angeschlossen wird. |
10.07.2009, 09:14 | #13 |
| TR/Agent.Abt.34 So, hier ist auch mal das avenger logfile: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "EagleNT" deleted successfully. Error: file "C:\WINDOWS\system32\drivers\EagleNT.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\EagleNT.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\Applian FLV Player Uninstall Log.txt" deleted successfully. Folder "C:\rsit" deleted successfully. Folder "C:\Config.Msi" deleted successfully. Completed script processing. ******************* Finished! Terminate. So, dann hab ich noch 3 Fragen 1. Sind solche HTML./Malware schlimm? Antivir hatte da letztens mal 2 gefunden, dachte mir aber das wäre nicht so schlimm 2. Es gibt doch so ne taste die man drücken muss, damit dieses Autoplay beim anstecken eines USB sticks nicht angeht, welche war das denn nochmal EDIT ich glaub, das brauche ich nicht mehr, nachdem ich deinen Beitrag gelesen habe^^ 3. könntest du mir auch noch helfen, den virus vom usb stick zu holen? |
10.07.2009, 16:00 | #14 | ||
| TR/Agent.Abt.34Zitat:
Zitat:
Wie du dich durch erneuten Befall schützen kannst, solltest du nach Lesen des obigen Links auch wissen. Lösche noch den Ordner c:\avenger, dann bist du entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
16.07.2009, 07:46 | #15 |
| TR/Agent.Abt.34 Huch!? Ich wollte grad die AutoRun.inf löschen, doch es war keine da. (Ich hatte Autorun/Autoplay bei tu abgeschaltet) und was soll ich bei der datenträgerbereinigung löschen? EDIT: In deinem Beitrag mkit Flashdisinfector wenn man auf den Link klickt kommt page not found. Ich würds ja woanders downloaden, doch bei wenn ich flashdisinfector bei google suche wird der 2te Eintrag von WOT schon als rot makiert und viele anderen als gelb |
Themen zu TR/Agent.Abt.34 |
adobe, antivir, antivir guard, bho, components, converter, desktop, explorer, firefox, flash player, handel, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet explorer 8, mozilla, mp3, nt.dll, photoshop, plug-in, registrierungsschlüssel, rundll, software, stick, suchlauf, temp, trojaner, usb, warnung, windows, windows internet, windows internet explorer, wlan |