|
Plagegeister aller Art und deren Bekämpfung: Trojan.Agent Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.07.2009, 19:59 | #1 |
| Trojan.Agent Hilfe! Hi, Anti Malwarebytes zeigt mir immer den Trojaner Agent an. Ich kann ihn mit Anti Malwarebytes so oft löschen wie ich möchte, er kommt immer wieder. Ich habe Windows Vista mit SP2. Hier ist das Logfile aus AntiMalwarebytes: Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2468 Windows 6.0.6002 Service Pack 2 21.07.2009 00:31:06 mbam-log-2009-07-21 (00-31-06).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 79634 Laufzeit: 1 minute(s), 16 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\***\AppData\Roaming\kernel33.dll (Trojan.Agent) -> Delete on reboot. und hier mein HJT Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:56:44, on 21.07.2009 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\svchost.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\rundll32.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\Windows\system32\brsvc01a.exe C:\Windows\system32\brss01a.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\taskeng.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Windows\system32\svchost.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\AVerMedia\Service\AVerRemote.exe C:\Program Files\Common Files\AVerMedia\Service\AVerScheduleService.exe C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe C:\Windows\system32\PSIService.exe C:\Windows\system32\svchost.exe C:\Program Files\ThreatFire\TFService.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe C:\Windows\system32\WUDFHost.exe C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\System32\mobsync.exe C:\Program Files\avmwlanstick\FRITZWLanMini.exe C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\rundll32.exe C:\Program Files\ThreatFire\TFTray.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerQuick.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe C:\Windows\ehome\ehsched.exe C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe C:\Windows\ehome\ehRecvr.exe C:\Windows\system32\taskeng.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\system32\SearchProtocolHost.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Program Files\Windows Live\Messenger\wlcsdk.exe C:\Windows\system32\Symconsent.exe C:\Users\TuxFan283\Desktop\HiJackThis.exe C:\Windows\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ffPrivate] "C:\Program Files\apsec\fideAS file enterprise\Private Edtion\ffPrivateAgent.exe" O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [0eYu] "C:\Users\TuxFan283\AppData\Roaming\LdkIeBcLY.bat" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe O4 - Global Startup: AVer HID Receiver.lnk = C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe O4 - Global Startup: AVerQuick.lnk = C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerQuick.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVerRemote - AVerMedia - C:\Program Files\Common Files\AVerMedia\Service\AVerRemote.exe O23 - Service: AVerScheduleService - Unknown owner - C:\Program Files\Common Files\AVerMedia\Service\AVerScheduleService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\Windows\system32\brsvc01a.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe -- End of file - 12005 bytes Ich hoffe, ihr könnt mir helfen! MfG TuxFan283 |
23.07.2009, 11:11 | #2 |
/// Helfer-Team | Trojan.Agent Hilfe! hi
__________________es geht hier um Privat oder Firmenrechner? |
23.07.2009, 19:41 | #3 |
| Trojan.Agent Hilfe! es handelt sich um einen Privatrechner.
__________________ |
23.07.2009, 20:52 | #4 |
/// Helfer-Team | Trojan.Agent Hilfe! hi - 32 bit Vista oder 64bit-Rechner? - Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. kennst Du das hier? - "Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" Code:
ATTFilter O4 - HKCU\..\Run: [0eYu] "C:\Users\TuxFan283\AppData\Roaming\LdkIeBcLY. bat" Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 3. - Lade dir RSIT - http://filepony.de/download-rsit/: - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von RSIT installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] gruß Coverflow |
23.07.2009, 23:40 | #5 |
| Trojan.Agent Hilfe! GMER 1.0.15.14972 - http://www.gmer.net Rootkit scan 2009-07-24 00:27:56 Windows 6.0.6002 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT \??\C:\Program Files\apsec\fideAS file enterprise\Private Edtion\vt\apsecf3.sys ZwQueryDirectoryFile [0xA090885C] ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 85C0E1F8 AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) Device \FileSystem\fastfat \Fat 87E871F8 AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation) AttachedDevice \Driver\tdx \Device\Tcp TfNetMon.sys AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) ---- Services - GMER 1.0.15 ---- Service system32\drivers\gaopdxdkvqbvmd.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- |
23.07.2009, 23:44 | #6 |
| Trojan.Agent Hilfe! im Angang findest du die zwei gewünschten Daten. Deine markierte Datei konnte ich nach einem ereuten scan mit HJT nicht mehr finden. |
24.07.2009, 07:06 | #7 |
/// Helfer-Team | Trojan.Agent Hilfe! hi Du hast aber ein (wenn nicht mehrere) hübsches und nicht gerade gutartiges Rootkit/Wikipedia auf deinen Rechner! ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw 1. - Beende bitte folgende Dienst: Lavasoft Ad-Aware Service - Start→ Alle Programme →Zubehör →Ausführen →"services.msc" (reinschreiben ohne "") →Ok 2. poste mir noch die Ergebnisse v. ComboFix: Code:
ATTFilter C:\Qoobox → besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: Code:
ATTFilter C:\Windows\system32\drivers\axcuqrkc.sys C:\Users\TUXFAN~1\AppData\Local\Temp\cxvafakj.sys → Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei - am besten über Copy&Paste des kompletten Pfades direkt reinkopieren aus der Codebox! → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): 4. Punkt 4. fehlt noch, bitte nachreichen!: -> http://www.trojaner-board.de/75583-t...tml#post450628 5. Lade herunter und installiere das Tool RootRepeal - setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK" - nach der Scan, klick auf "Save Report" - speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread Geändert von kira (24.07.2009 um 07:15 Uhr) |
24.07.2009, 10:48 | #8 |
| Trojan.Agent Hilfe! Hi, also im Anhang findest du meine installierten programme und mein combofix. Leider hat RootRepeal nicht funktioniert. Es kamen imer Fehler mit 0x can not write und einmal cannot read. Dank schomal das du mir immer hilfst! TuxFan283 |
24.07.2009, 13:25 | #9 |
| Trojan.Agent Hilfe! und deine markierten Dateien, die ich bei Virustotal hochladen sollte, habe ich nicht gefunden. Scheinen wohl schon gelöscht worden zu sein oder so. Danke nochmal für deine tatkräftige Unterstützung. |
24.07.2009, 18:11 | #10 | |
/// Helfer-Team | Trojan.Agent Hilfe! hi Ok, dann mache bitte folgendes: 1. CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. Wichtig!: Zitat:
Geh auf den Reiter "Services". Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete". Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell 3. Dann lass` "gmer" erneut scannen Scanner wieder einschalten, bevor Du ins Netz gehst! und poste den Bericht. 4. starte dein system neu auf 5.
|
24.07.2009, 19:34 | #12 |
| Trojan.Agent Hilfe! gmer zeigt mir keine meldung die ich verneinen kann. es kommt auuch keine roten einträge. trotzdem schonmal danke für deine hilfe |
24.07.2009, 20:11 | #13 |
| Trojan.Agent Hilfe! mir ist noch etwas eingefallen. ich habe avg anti rootkit gedownloadet und der hat folgendes gefunden: Code:
ATTFilter Path: C:\Windows\System32\Drivers\ab9aq2xh.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\adtguu20.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\adtguu20.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\azky5dil.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\a0idavhf.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\a0idavhf.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\a28xf1vk.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\aa1249h7.SYS Description: Hidden driver filePath: C:\Windows\System32\Drivers\a5jl93he.SYS Description: Hidden driver file |
24.07.2009, 20:33 | #14 |
/// Helfer-Team | Trojan.Agent Hilfe! hi 1. - Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\ Code:
ATTFilter Drivers to disable: gaopdxserv.sys Drivers to delete: gaopdxserv.sys Files to delete: C:\Windows\system32\drivers\axcuqrkc.sys C:\Users\TUXFAN~1\AppData\Local\Temp\cxvafakj.sys → die avenger.exe per Doppelklick starten → füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein: → dann klicke auf "Execute" → wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja". → auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch → nach Neustart wird ein Dos Fenster aufgehen. → wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt → kopiere und füge den Inhalt direkt aus der Textdatei hier rein **- Wenn Avenger nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne avenger.exe um in "avege.com" (ohne"") und versuche es erneut. 2. versuche RootRepeal auch umzubenennen und ausführen Wähle eine beliebige Dateiname, die Endung soll da auch *.com sein! |
24.07.2009, 20:44 | #15 |
| Trojan.Agent Hilfe! hier mein SUPERAntiSpyware Logfile: Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 07/24/2009 at 09:42 PM Application Version : 4.26.1006 Core Rules Database Version : 4016 Trace Rules Database Version: 1956 Scan type : Complete Scan Total Scan Time : 01:02:31 Memory items scanned : 805 Memory threats detected : 0 Registry items scanned : 7927 Registry threats detected : 0 File items scanned : 49273 File threats detected : 14 Adware.Tracking Cookie C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@weborama[2].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@atdmt[2].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@perf.overture[1].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@adserver.71i[1].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@atwola[1].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@msnportal.112.2o7[1].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@2o7[2].txt de.sitestat.com [ C:\Users\Standard\AppData\Roaming\Mozilla\Firefox\Profiles\z3tsd17a.default\cookies.txt ] C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\Low\tuxfan283@ad.yieldmanager[1].txt C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\Low\tuxfan283@kaspersky.122.2o7[1].txt Unclassified.Unknown Origin C:\USERS\TUXFAN283\DOWNLOADS\FIREFOX\NAVIGONMOBILENAVIGATORSERIAL\KEYGEN.NFO C:\USERS\TUXFAN283\APPDATA\ROAMING\MICROSOFT\WINDOWS\RECENT\KEYGEN.NFO.LNK Trojan.VXGame-Variant/D C:\USERS\TUXFAN283\GAMES\THE SIMS 2 APARTMENT LIFE [MULTI16][PCDVD][WWW.GAMESTORRENTS.COM]\TSBIN\TS2UPD.EXE Adware.Spyware Labs C:\WINDOWS\SYSTEM32\SMAB.DLL |
Themen zu Trojan.Agent Hilfe! |
ad-aware, add-on, antimalwarebytes, antivir, antivir guard, avira, bho, browser, controlcenter, desktop, downloader, firefox, hijack, hijackthis, installation, internet, internet explorer, logfile, magix, mozilla, plug-in, registrierungsschlüssel, safer networking, server, software, solution, stick, symantec, system, toolbars, trojaner, vista, windows |