| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: winlog.exe ist Backdoor.Agobot.LF?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.09.2009, 00:08
| #31 |
 |  winlog.exe ist Backdoor.Agobot.LF? So, der Scan ist endlich fertig... Und hier kommt der Log: Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-09-06 01:03:05
PROTECTIONS: 0
MALWARE: 8
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\**\Cookies\**@ad.yieldmanager[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\**\Cookies\**@ad.yieldmanager[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\**\Cookies\**@adtech[1].txt
00484705 Application/IEDefender HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.C.exe.vir
00484705 Application/IEDefender HackTools No 0 Yes No C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP93\A0013328.exe
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP92\A0013278.sys
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP92\A0013287.sys
00921467 Generic Malware Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\404Fix.exe.vir
00921467 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP93\A0013325.exe
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\**\Cookies\**@adserver.easyad[1].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP94\A0013522.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{6E6EEE88-89E9-4373-8406-B27955ED9608}\RP94\A0013515.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\Programme\SmitfraudFix.exe.vir
;===================================================================================================================================================================================
EDIT: okay, ist nur die Hälfte davon. Die andere Hälfte besteht zum Großteil aus Leerzeichen, die ich erst entfernen müsste, falls ich es posten sollte... |
|
06.09.2009, 00:17
| #32 |
  | winlog.exe ist Backdoor.Agobot.LF? Die Leerzeichen interessieren nicht, nur der Text. Sieht aber überraschend gut aus.
__________________ciao, andreas
__________________ |
|
06.09.2009, 00:30
| #33 |
| | winlog.exe ist Backdoor.Agobot.LF? Das klingt doch mal erfreulich
__________________ und hier der Rest des Logs: Code:
ATTFilter VULNERABILITIES
Id Severity Description
;===========================
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208379 HIGH MS09-014
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
204670 HIGH MS09-001
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
209275 HIGH MS08-049
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194860 HIGH MS08-030
191618 HIGH MS08-025
191616 HIGH MS08-023
191614 HIGH MS08-021
191613 HIGH MS08-020
187733 HIGH MS08-008
184380 MEDIUM MS08-002
184379 MEDIUM MS08-001
182046 HIGH MS07-067
179553 HIGH MS07-061
176383 HIGH MS07-058
170911 HIGH MS07-050
170907 HIGH MS07-046
170904 HIGH MS07-043
164915 HIGH MS07-035
164911 HIGH MS07-031
157262 HIGH MS07-022
157261 HIGH MS07-021
157260 HIGH MS07-020
157259 HIGH MS07-019
156477 HIGH MS07-017
150249 HIGH MS07-013
150248 HIGH MS07-012
150247 HIGH MS07-011
150243 HIGH MS07-008
150242 HIGH MS07-007
150241 MEDIUM MS07-006
145501 HIGH MS07-004
141033 MEDIUM MS06-075
137571 HIGH MS06-070
133386 MEDIUM MS06-064
133385 MEDIUM MS06-063
133379 HIGH MS06-057
129977 MEDIUM MS06-053
129976 MEDIUM MS06-052
126093 HIGH MS06-051
126092 MEDIUM MS06-050
126087 HIGH MS06-046
108738 HIGH MS06-004
126082 HIGH MS06-041
126081 HIGH MS06-040
123421 HIGH MS06-036
123420 HIGH MS06-035
120825 MEDIUM MS06-032
120823 MEDIUM MS06-030
120818 HIGH MS06-025
120815 HIGH MS06-022
117384 MEDIUM MS06-018
114666 HIGH MS06-015
108738 HIGH MS06-004
108738 HIGH MS06-004
108738 HIGH MS06-004
104567 HIGH MS06-002
104237 HIGH MS06-001
96574 HIGH MS05-053
93395 HIGH MS05-051
93454 MEDIUM MS05-049
;=============================
|
|
06.09.2009, 11:53
| #34 |
| | winlog.exe ist Backdoor.Agobot.LF? Das sieht aber gar nicht gut aus.  Alles, was zuerst gefunden wurde, war in der Quarantäne von ComboFix und in der Systemwiederherstellung. Darum muss man sich keine Sorgen machen. Aber das nächste Post zeigt überdeutlich, dass du eines der "Grundgesetze", die du lesen kannst, wenn du auf die letzten beiden Links in meiner Signatur klickst, nicht eingehalten hast, und dadurch grundsätzlich gefährdet bist. Du musst deine Software aktuell halten. Zumindest wöchentlich schauen, was habe ich installiert, gibt es Updates? Gegen diese Regel hast du verstoßen. Von dem Auslöser, sprich der Autoplayfunktion von Windows hat dich ComboFix befreit, das kann dir nicht wieder passieren. Trotzdem musst du die Regeln beachten. Immer! Installiere:
Poste ein aktuelles HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
06.09.2009, 15:29
| #35 |
| | winlog.exe ist Backdoor.Agobot.LF? Je mehr ich mache, desto mehr Probleme scheine ich zu bekommen  Ich hab das SP3 installiert, Automatische Updates zugelassen, IE8 ist grade in der Installation, und während ich mit FlashGet versuche, den KMPlayer zu bekommen, tut sich ein Fensterchen mit folgendem Inhalt auf: Code:
ATTFilter Microsoft Windows XP Service Pack 3 [Build:5.1.2600]
FlashGet 2.11.0.1188 96F86FEACA32A66EBD772F55991467A0 00:04:54
----------------------------------------------------
Type: EXCEPTION_ACCESS_VIOLATION
Address: 0x0000000B
Description: Read the address 0x0000000B
Call Stack:
Load Module List:
C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe [0x00400000] (Ver:2.11.0.1188)
C:\WINDOWS\system32\ntdll.dll [0x7C910000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\kernel32.dll [0x7C800000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\USER32.dll [0x7E360000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\GDI32.dll [0x77EF0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\comdlg32.dll [0x76350000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\ADVAPI32.dll [0x77DA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\RPCRT4.dll [0x77E50000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\Secur32.dll [0x77FC0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\COMCTL32.dll [0x5D450000] (Ver:5.82.2900.5512)
C:\WINDOWS\system32\SHELL32.dll [0x7E670000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\msvcrt.dll [0x77BE0000] (Ver:7.0.2600.5512)
C:\WINDOWS\system32\SHLWAPI.dll [0x77F40000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\ole32.dll [0x774B0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\OLEAUT32.dll [0x770F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSIMG32.dll [0x76320000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSVCP60.dll [0x76020000] (Ver:6.2.3104.0)
C:\Programme\FlashGet Network\FlashGet universal\dbghelp.dll [0x6D510000] (Ver:5.1.2600.1106)
C:\WINDOWS\system32\VERSION.dll [0x77BD0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\PSAPI.DLL [0x76BB0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\NETAPI32.dll [0x597D0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WININET.dll [0x441E0000] (Ver:7.0.6000.16791)
C:\WINDOWS\system32\Normaliz.dll [0x00330000] (Ver:6.0.5441.0)
C:\WINDOWS\system32\iertutil.dll [0x43F60000] (Ver:7.0.6000.16791)
C:\Programme\FlashGet Network\FlashGet universal\storage.dll [0x10000000] (Ver:2.0.0.1003)
C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateUI.dll [0x00340000] (Ver:1.1.0.1002)
C:\WINDOWS\system32\MFC42.DLL [0x73D30000] (Ver:6.2.4131.0)
C:\WINDOWS\system32\WSOCK32.dll [0x71A30000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WS2_32.dll [0x71A10000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WS2HELP.dll [0x71A00000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\imagehlp.dll [0x76C50000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\IMM32.DLL [0x76330000] (Ver:5.1.2600.5512)
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll [0x773A0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\MFC42LOC.DLL [0x61DC0000] (Ver:6.0.8665.0)
C:\Programme\FlashGet Network\FlashGet universal\BugReport.dll [0x00F20000] (Ver:1.1.0.1001)
C:\Programme\FlashGet Network\FlashGet universal\zlib.dll [0x00F60000] (Ver:1.1.4.0)
C:\WINDOWS\system32\CRTDLL.dll [0x73D00000] (Ver:4.0.1183.1)
C:\WINDOWS\system32\WINSPOOL.DRV [0x72F70000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\ComHelper\ComHelper.dll [0x00FA0000] (Ver:1.0.0.1002)
C:\WINDOWS\system32\urlmon.dll [0x442C0000] (Ver:7.0.6000.16791)
C:\WINDOWS\system32\SETUPAPI.dll [0x778F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\iphlpapi.dll [0x76D20000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\Downstat\Downstat.dll [0x00FE0000] (Ver:1.0.0.1008)
C:\Programme\FlashGet Network\FlashGet universal\modules\P4pclient\P4pclient.dll [0x01010000] (Ver:1.0.0.1005)
C:\WINDOWS\system32\uxtheme.dll [0x5B0F0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\MSCTF.dll [0x746A0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\msctfime.ime [0x75250000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\SearchTop\SearchTop.dll [0x01120000] (Ver:1.0.0.1002)
C:\Programme\FlashGet Network\FlashGet universal\modules\Security\Security.dll [0x01160000] (Ver:1.0.0.1006)
C:\Programme\FlashGet Network\FlashGet universal\modules\SnapShot\SnapShot.dll [0x011E0000] (Ver:1.0.0.1027)
C:\WINDOWS\system32\AVIFIL32.dll [0x73AC0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WINMM.dll [0x76AF0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSACM32.dll [0x77BB0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSVFW32.dll [0x75EC0000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\tasknotifier\tasknotifier.dll [0x01330000] (Ver:1.0.0.1002)
C:\WINDOWS\system32\RASAPI32.dll [0x76EA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\rasman.dll [0x76E50000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\TAPI32.dll [0x76E70000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\rtutils.dll [0x76E40000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\modules\SnapShot\SamplerCli.dll [0x01690000] (Ver:1.0.0.1002)
C:\WINDOWS\system32\USERENV.dll [0x76620000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mswsock.dll [0x719B0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\msv1_0.dll [0x77C40000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\hnetcfg.dll [0x66710000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\sensapi.dll [0x72240000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\RICHED32.DLL [0x73250000] (Ver:5.1.2600.0)
C:\WINDOWS\system32\RICHED20.dll [0x74DB0000] (Ver:5.30.23.1230)
C:\WINDOWS\system32\rasadhlp.dll [0x76F80000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\DNSAPI.dll [0x76EE0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wshtcpip.dll [0x719F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\winrnr.dll [0x76F70000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WLDAP32.dll [0x76F20000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\explorerbar.dll [0x02540000] (Ver:1.0.0.1)
C:\WINDOWS\system32\CLBCATQ.DLL [0x76F90000] (Ver:2001.12.4414.700)
C:\WINDOWS\system32\COMRes.dll [0x77010000] (Ver:2001.12.4414.700)
C:\WINDOWS\system32\appHelp.dll [0x77B10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\cscui.dll [0x779F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\CSCDLL.dll [0x765A0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ieframe.dll [0x444C0000] (Ver:7.0.6000.16791)
C:\WINDOWS\system32\SXS.DLL [0x76970000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mshtml.dll [0x44BA0000] (Ver:7.0.6000.16809)
C:\WINDOWS\system32\msls31.dll [0x02C60000] (Ver:3.10.349.0)
C:\Programme\FlashGet Network\FlashGet universal\btcore.dll [0x02DF0000] (Ver:2.1.0.42)
C:\Programme\FlashGet Network\FlashGet universal\p2spmgr.dll [0x02EC0000] (Ver:1.8.11.24)
C:\Programme\FlashGet Network\FlashGet universal\p2snetio.dll [0x02F00000] (Ver:1.0.0.7925)
C:\Programme\FlashGet Network\FlashGet universal\p2sprot.dll [0x03050000] (Ver:1.8.11.17)
C:\Programme\FlashGet Network\FlashGet universal\p2pprot.dll [0x03090000] (Ver:1.8.11.17)
C:\WINDOWS\System32\msimtf.dll [0x74670000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MLANG.dll [0x75DC0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx [0x031D0000] (Ver:10.0.22.87)
C:\WINDOWS\system32\CRYPT32.dll [0x77A50000] (Ver:5.131.2600.5512)
C:\WINDOWS\system32\MSASN1.dll [0x77AF0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mscms.dll [0x73AA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\WINTRUST.dll [0x76BF0000] (Ver:5.131.2600.5512)
C:\WINDOWS\system32\wdmaud.drv [0x72C90000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\msacm32.drv [0x72C80000] (Ver:5.1.2600.0)
C:\WINDOWS\system32\midimap.dll [0x77BA0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\jscript.dll [0x75BF0000] (Ver:5.7.0.16599)
C:\WINDOWS\system32\xpsp2res.dll [0x04DD0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ImgUtil.dll [0x1B000000] (Ver:7.0.5730.13)
C:\WINDOWS\system32\pngfilt.dll [0x433A0000] (Ver:7.0.6000.16791)
C:\WINDOWS\System32\shdocvw.dll [0x7E1E0000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\CRYPTUI.dll [0x76880000] (Ver:5.131.2600.5512)
C:\WINDOWS\System32\browseui.dll [0x75F20000] (Ver:6.0.2900.5512)
C:\WINDOWS\system32\MPR.dll [0x71A80000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\drprov.dll [0x75F00000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\ntlanman.dll [0x71B90000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\NETUI0.dll [0x71C50000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\NETUI1.dll [0x71C10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\NETRAP.dll [0x71C00000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\SAMLIB.dll [0x71B70000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\davclnt.dll [0x75F10000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\MSGINA.dll [0x75910000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ODBC32.dll [0x745D0000] (Ver:3.525.1132.0)
C:\WINDOWS\system32\WINSTA.dll [0x76300000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\odbcint.dll [0x1F840000] (Ver:3.525.1117.0)
C:\WINDOWS\system32\LINKINFO.dll [0x76930000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ntshrui.dll [0x76940000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ATL.DLL [0x76AD0000] (Ver:3.5.2284.1)
C:\WINDOWS\System32\sti.dll [0x73B10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\CFGMGR32.dll [0x74A60000] (Ver:5.1.2600.5512)
C:\Programme\FlashGet Network\FlashGet universal\p2spwrap.dll [0x05B50000] (Ver:1.0.1.1008)
C:\Programme\FlashGet Network\FlashGet universal\hashgen.dll [0x02950000] (Ver:1.0.0.1)
C:\Programme\FlashGet Network\FlashGet universal\btwrap.dll [0x04CD0000] (Ver:1.0.1.1007)
C:\WINDOWS\system32\MPRAPI.dll [0x76D00000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\ACTIVEDS.dll [0x77C90000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\adsldpc.dll [0x76DD0000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\mshtmled.dll [0x44160000] (Ver:7.0.6000.16791)
C:\WINDOWS\System32\netshell.dll [0x763A0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\credui.dll [0x76BC0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\dot3api.dll [0x5F8F0000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\dot3dlg.dll [0x71260000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\OneX.DLL [0x72760000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\WTSAPI32.dll [0x76F10000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\eappcfg.dll [0x6DB40000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\eappprxy.dll [0x47700000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\wbemprox.dll [0x74E70000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\wbemcomn.dll [0x75210000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\wbemsvc.dll [0x74E50000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\wbem\fastprox.dll [0x75620000] (Ver:5.1.2600.5512)
C:\WINDOWS\system32\NTDSAPI.dll [0x76750000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\netcfgx.dll [0x75580000] (Ver:5.1.2600.5512)
C:\WINDOWS\System32\CLUSAPI.dll [0x76D60000] (Ver:5.1.2600.5512)
Register Information:
EAX=0x0000000B EBX=0x00000000 ECX=0x02F4639C EDX=0x00000002
ESI=0x02F438E8 EDI=0x000000BC EBP=0x02F464E8 ESP=0x00000004
System Time: 2009-09-06 16:23:24
Process Information:
CPU Share: 0
CPU Time: 0:00:05
Memory Usage: 22388KB
Virtual Memory: 31060KB
Peak Memory Usage: 67828KB
Handle: 513
USER Object: 194
GDI Object: 357
Thread: 29
Task List
0 [System Process]
4 System
760 smss.exe
808 csrss.exe
832 winlogon.exe
876 services.exe
888 lsass.exe
1056 svchost.exe
1136 svchost.exe
1280 svchost.exe
1340 S24EvMon.exe
1424 svchost.exe
1588 svchost.exe
1948 spoolsv.exe
788 AppleMobileDeviceService.exe
1188 prevx.exe
1448 RegSrvc.exe
1740 SMAgent.exe
1780 svchost.exe
1808 wdfmgr.exe
584 alg.exe
1460 ZCfgSvc.exe
176 wscntfy.exe
620 explorer.exe
792 1XConfig.exe
1480 prevx.exe
2400 jusched.exe
2640 msnmsgr.exe
2784 ctfmon.exe
4000 usnsvc.exe
3212 iexplore.exe
2836 WLLoginProxy.exe
3272 IE8-WindowsXP-x86-DEU[1].exe
1396 iesetup.exe
1612 rundll32.exe
1572 update.exe
2636 flashget.exe
|
|
06.09.2009, 15:44
| #36 |
| | winlog.exe ist Backdoor.Agobot.LF? Auch wenn Windows vorgibt, Multitasking zu beherrschen, so stimmt das in der Realität nicht immer. Eines nach dem Anderen. ciao, andreas
__________________ --> winlog.exe ist Backdoor.Agobot.LF? |
|
06.09.2009, 15:49
| #37 | |
| | winlog.exe ist Backdoor.Agobot.LF?Zitat:
 IE8 ist fertig und will neustarten, also lass ich das FlashGet Fensterchen einfach und warte, ob es nach einem Neustart wiederkommt?  Und dann wollte ich noch fragen: Du hast ja gesagt, ich war mit den Updates faul (was ja stimmt). Reicht es, einfach Windows das alles automatisch machen zu lassen, oder muss ich selbst auch noch die Augen danach offenhalten? |
|
06.09.2009, 16:10
| #38 | ||
| | winlog.exe ist Backdoor.Agobot.LF?Zitat:
Zitat:
1.) Start => Ausführen => combofix /u => OK 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. Nach Neustart kann sie wieder aktiviert werden. 3.) Wie geht es dem Rechner? Gibt es noch irgendwelche Auffälligkeiten oder Meldungen? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
06.09.2009, 16:44
| #39 |
| | winlog.exe ist Backdoor.Agobot.LF? Okay, KMPlayer ist jetzt drauf und funktioniert, IE8 ist in Benutzung (auch wenn noch alles ein wenig gewöhnungsbedürftig für mich ist, er funktioniert einwandfrei), ComboFix ist runter. Meiner Meinung nach ist der Laptop ein kleines Bisschen langsamer geworden, was für mich aber kein Problem darstellt, ansonsten scheint alles okay. Die Systemwiderherstellung musste ich nicht selbst wieder aktivieren (ist das denn normal?) und das Fensterchen kam auch nicht wieder. Sollte ich die Schutzprogramme, die ich im Laufe der Behandlung heruntergeladen habe, behalten? Aktuelles HJT-Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:39:25, on 06.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Prevx\prevx.exe C:\WINDOWS\system32\RegSrvc.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\1XConfig.exe C:\Programme\Prevx\prevx.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 5638 bytes |
|
06.09.2009, 17:01
| #40 | |||
| | winlog.exe ist Backdoor.Agobot.LF?Zitat:
Zitat:
Zitat:
Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter Alle R0, R1, O2, O3, O8, O9 und O16-Einträge
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" /min
Poste ein letztes HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
06.09.2009, 17:30
| #41 |
| | winlog.exe ist Backdoor.Agobot.LF? So, alles deinstalliert, gefixt und neugestartet. Wieso brauche ich zwar die neueste IE Version, soll sie aber nicht benutzen? Hier das kürzeste HJT-Log, das ich je gesehen hab: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:28:10, on 06.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\RegSrvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\1XConfig.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 2044 bytes |
|
06.09.2009, 17:42
| #42 | ||
| | winlog.exe ist Backdoor.Agobot.LF? Das der Rechner z.Z. langsamer ist liegt auch daran: Zitat:
Zitat:
Gegen den MSIE spricht vor Allem der Sicherheitsaspekt. Da er immer noch der verbreiteste Browser ist, wird er von Schädlingsprogrammierern gezielt angegriffen und dessen Schwachstellen genutzt. Du bist entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
06.09.2009, 17:45
| #43 |
| | winlog.exe ist Backdoor.Agobot.LF? Achso... klingt irgendwie logisch Wow... super Vielen Dank für deine Hilfe, jetzt bin ich auch um einiges schlauer geworden, was die Sicherheit anbetrifft Danke! |
|
| Themen zu winlog.exe ist Backdoor.Agobot.LF? |
| aufsetzen, auswertung, dll, einstellungen, fehlermeldung, frage, google, hijack, hijackthis, laptop, logfile, microsoft, namen, nicht vorhanden, problem, prozess, registry, scan, schnelle hilfe, spybot, system, temp, usb-stick, verbindung, virenscanner, win xp, öffnen |
Linear-Darstellung
