Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: winlog.exe ist Backdoor.Agobot.LF?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.09.2009, 19:01   #1
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Hallo liebe Helfer.

Ich bin mir zwar nicht zu hunderprozent sicher, ob es sich hier um einen Trojaner/Viren/Wurmbefall handelt, hab aber eine Vermutung.

Als ich heute einen USB-Stick an meinen Laptop angeschlossen habe und ihn mit Doppelklick öffnen wollte, kam die Fehlermeldung:

winlog.exe - Abbild fehlerhaft
Die Anwendung oder DLL C:\DOKUME~1\<benutzername>\LOKALE~1\Temp\ylk27.tmp ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.

Jedes Mal, wenn ich es erneut versucht habe, änderte sich die Temp-Datei in dieser Meldung in irgendeine andere Buchstabenkombination, was ich schon mal seltsam fand.

Da ich nicht wirklich viel von solchen Dingen verstehe, hab ich erst mal in Google danach gesucht. Danach hab ich HijackThis drüberlaufen lassen und die Auswertung sagte mir, dass ich einen Prozess, der den Namen Winlog.exe enthielt, fixen sollte, was ich getan habe. Außerdem wurde mir geraten, die Datei "Winlog.exe" auf C:\Dokumente und Einstellungen\<benutzername>\Anwendungsdaten\Microsoft zu löschen. Ich hab diese Datei auf einer Website durch mehrere Virenscanner laufen lassen, wo 10 von 21 darauf anschlugen. Der Name "Backdoor.Agobot.LF" kam auch einmal darunter vor, und da ich diesen aus dem Logfile in Verbindung mit Winlog.exe schon bemerkt hatte, hab ich einfach weiter nach diesem Anhaltspunkt gesucht.

Manuell löschen ließ sich die Datei Winlog.exe nicht, also hab ich es mit dem File Shredder von SpyBot versucht. Verschwinden wollte die Datei dennoch nicht gänzlich. Sie benannte sich bei jedem Mal in eine beliebige Buchstabenkombination um, was für mich nach einem schlechten Zeichen aussieht.

Beim Googlen hab ich dann auch gesehen, dass ich in der Registry gewisse Einträge löschen könnte, die bei mir aber nicht vorhanden waren und mir somit auch nicht weiterhalfen.

Ich hab mir also unterm Strich schon die Finger wundgesucht, jedoch nichts gefunden, mit dem ich das ursprüngliche Problem des Öffnens lösen oder diese Datei löschen kann.

Meine Fragen wären nun:
Wobei könnte es sich dabei definitiv handeln? Ist das wirklich der Backdoor.Agobot.LF?
Könnte sich das Problem noch ausweiten, falls ich nichts unternehme?
Wie beseitige ich das Problem?

Neu Aufsetzen möchte ich das System nicht unbedingt. Lösungen ohne dieses Mittel wären toll

Falls es hilft, ich habe ein Toshiba-Notebook aus der Tecra-Serie, Win XP, SP 2.

Über schnelle Hilfe würde ich mich freuen, durch Erfahungen in der Vergangenheit tendiere ich dazu, unruhig zu werden und irgendwelchen Käse anzustellen bei dem Versuch, etwas zu reparieren

Liebe Grüße, freakout

Alt 03.09.2009, 20:41   #2
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Hallo und
Zitat:
Wobei könnte es sich dabei definitiv handeln? Ist das wirklich der Backdoor.Agobot.LF?
Quelle: W32/Agobot-LF Win32-Wurm (Backdoor.Agobot.gen, W32/Gaobot.worm.gen.e, Win32/Agobot.3.RD, W32.HLLW.Gaobot.gen, WORM_AGOBOT.MG) - Sophos Sicherheitsanalyse
Zitat:
W32/Agobot-LF ist ein Netzwerkwurm, der unbefugten Fernzugriff auf den Computer mittels IRC-Kanälen ermöglicht. W32/Agobot-LF kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC-Locator-Schwachstellen ausnutzt. Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen bzw. patchen können, finden Sie in den Microsoft Security Bulletins MS03-001 und MS03-026. MS03-026 wurde durch den Microsoft Security Bulletin MS03-039 ersetzt. W32/Agobot-LF verschiebt sich als winlog.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass er beim Systemstart ausgeführt wird: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Login = winlog.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Windows Login = winlog.exe Auf NT-basierten Windows-Versionen erstellt der Wurm einen neuen Dienst namens "Windows Login", für den die Starteigenschaften auf automatisch gestellt sind, so dass der Dienst automatisch bei jedem Start von Windows aktiviert wird. W32/Agobot-LF versucht, verschiedene Antiviren- und Sicherheitsprogramme zu beenden und zu deaktivieren. Er versucht außerdem, Prozesse zu beenden, die mit der W32/Blaster-Wurmfamilie im Zusammenhang stehen. W32/Agobot-LF sammelt Systemdaten und Registrierungsschlüssel beliebter Spiele, die auf dem Computer installiert sind.
Zitat:
Könnte sich das Problem noch ausweiten, falls ich nichts unternehme?
Das Zitat sollte diese Frage beantworten. Das sämtliche Passwörter, Zugangsdaten, Seriennummern schon irgendwo hin verschickt sind, davon kannst du ausgehen. Warum du mit der verseuchten Kiste immer noch im Internet bist, ist nicht wirklich nachzuvollziehen. Warum du anstatt simpel neuzuinstallieren lieber stundenlang recherchierst auch nicht.
Zitat:
bei dem Versuch, etwas zu reparieren
Das sämtliche Daten schon verschickt wurden, da ist nichts mehr dran zu reparieren.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas
__________________

__________________

Alt 03.09.2009, 21:01   #3
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Erst mal danke für die schnelle Antwort

Das mit dem Neuinstallieren ist so ne Sache *hust* Ich hab das schon einige Male hinter mir und mir graut wenn ich nur daran denke

Ja, das hab ich auch schon durchgelesen. Das Problem war jetzt eben, dass ich auf keinen Fall Neuinstallieren wollte, wenn ich nicht sicher bin ob das wirklich so ein Backdoor-Trojaner ist. Das mit der Fehlermeldung ist eben erst seit heute (genauer genommen seit den letzten 5 Stunden) und ich hab mich gefragt, ob ich vielleicht einfach nur falsch recherchiert hab und das ganze einen anderen Usprung hat.

In deinem ersten Zitat steht eben auch das mit den Registryeinträgen, die ich bei mir einfach nicht finden kann. Ich hatte die Hoffnung, dass das ein Gegenbeweis ist

Tut mir leid dass ich noch mal so doof frage, ich will nur sichergehen: Diese Programme unter Punkt 2 alle ausführen und Logs daraus posten? (Oder verstehe ich das alles wieder falsch?)

Liebe Grüße
__________________

Alt 03.09.2009, 21:08   #4
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Ja. Das Teil ist uralt und die Wahrscheinlichkeit einer Falschmeldung eher gering.
Zitat:
Ich hab das schon einige Male hinter mir und mir graut wenn ich nur daran denke
Dann solltest du zuerst auf die letzten beiden Links in meiner Signatur klicken, alles aufmerksam lesen und auswendig lernen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.09.2009, 22:34   #5
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Okay, hab jetzt alles durchlaufen lassen, was so empfohlen wurde.

Hier die Logs:

MBAM-LOG:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2737
Windows 5.1.2600 Service Pack 2

03.09.2009 23:11:05
mbam-log-2009-09-03 (23-11-05).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85825
Laufzeit: 13 minute(s), 24 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe (Trojan.Agent) -> Quarantined and deleted successfully.


RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by ** at 2009-09-03 23:22:11
Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (34%) free of 10 GB
Total RAM: 511 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:25, on 03.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DC8ZDZ0U\RSIT[1].exe
C:\Programme\Trend Micro\HijackThis\**.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6357 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Spybot - Search & Destroy - Scheduled Task.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-02 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-29 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-07-25 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-07-25 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-29 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-29 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [2009-04-02 198160]
"ZCfgSvc.exe"=C:\WINDOWS\system32\ZCfgSvc.exe [2006-08-03 639040]
"PRONoMgr.exe"=C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2005-07-07 135168]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2009-05-26 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2009-07-13 292128]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll [2006-08-03 188482]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7631c890-7a06-11de-adb5-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{869951e0-774b-11de-adae-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03150-7b80-11de-adb9-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90e03151-7b80-11de-adb9-00080d041138}]
shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3312-1f94-11de-ad11-00080d041138}]
shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{deab3315-1f94-11de-ad11-00080d041138}]
shell\AutoRun\command - G:\winlog.exe
shell\open\command - G:\winlog.exe


======List of files/folders created in the last 1 months======

2009-09-03 23:22:11 ----D---- C:\rsit
2009-09-03 22:53:08 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-03 22:12:02 ----D---- C:\Programme\CCleaner
2009-09-03 19:15:56 ----D---- C:\Programme\PowerTools Lite
2009-09-03 18:44:28 ----D---- C:\Programme\Unlocker
2009-08-22 00:35:31 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-22 00:34:53 ----A---- C:\WINDOWS\system32\GEARAspi.dll
2009-08-22 00:34:06 ----D---- C:\Programme\iPod
2009-08-22 00:33:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-22 00:33:08 ----D---- C:\Programme\iTunes
2009-08-22 00:31:56 ----D---- C:\Programme\Bonjour
2009-08-22 00:30:17 ----D---- C:\Programme\QuickTime
2009-08-22 00:30:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-22 00:29:12 ----D---- C:\Programme\Apple Software Update
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2009-08-22 00:28:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2009-08-05 13:40:23 ----N---- C:\WINDOWS\Setup1.exe
2009-08-05 13:40:22 ----A---- C:\WINDOWS\ST6UNST.EXE

======List of files/folders modified in the last 1 months======

2009-09-03 23:21:35 ----D---- C:\WINDOWS\Prefetch
2009-09-03 23:18:10 ----D---- C:\WINDOWS\Temp
2009-09-03 23:17:28 ----D---- C:\WINDOWS
2009-09-03 23:15:50 ----D---- C:\WINDOWS\system32\drivers
2009-09-03 23:15:22 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-03 23:11:05 ----SD---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft
2009-09-03 22:52:57 ----RD---- C:\Programme
2009-09-03 19:23:01 ----D---- C:\WINDOWS\system32\LogFiles
2009-09-03 19:23:01 ----D---- C:\WINDOWS\Debug
2009-09-03 19:16:03 ----D---- C:\WINDOWS\system32
2009-09-03 17:27:30 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-27 00:43:59 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Audacity
2009-08-22 01:36:18 ----HD---- C:\WINDOWS\inf
2009-08-22 00:35:41 ----SHD---- C:\WINDOWS\Installer
2009-08-22 00:34:53 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-19 00:24:46 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-08-17 11:19:34 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\gtk-2.0

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-07-28 17801]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-08-03 10970]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-08-22 98752]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\System32\DRIVERS\e1000325.sys [2007-06-05 171416]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NeroCd2k;NeroCd2k; C:\WINDOWS\system32\drivers\NeroCd2k.sys [2001-04-16 44227]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 sdbus;sdbus; C:\WINDOWS\System32\DRIVERS\sdbus.sys [2004-08-03 67584]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-11-04 519168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 w70n51;Intel(R) PRO/Wireless 7100 Adaptertreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w70n51.sys [2006-07-13 674560]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2007-08-08 101120]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NETGEAR_MA111;NETGEAR 802.11b MA111 Driver; C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2003-08-29 644608]
S3 PAC207;Trust WB-1400T Webcam; C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-03 11136]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-03 10240]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 YMIDUSB;Yamaha Corporation USB MIDI Driver; C:\WINDOWS\System32\Drivers\ymidusb.sys [2007-09-04 16768]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-07-09 144712]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-29 152984]
R2 RegSrvc;RegSrvc; C:\WINDOWS\system32\RegSrvc.exe [2006-08-03 122880]
R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\system32\S24EvMon.exe [2006-08-03 426051]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-07-15 45056]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-30 182768]
S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\NCS\Sync\NetSvc.exe [2003-04-29 139264]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------


Geändert von freakout (03.09.2009 um 22:54 Uhr)

Alt 03.09.2009, 22:35   #6
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



und hier noch der letzte Log, ging sich im letzten Post nicht aus und ich hab natürlich wieder mal keine Ahnung, wie man das umgehen kann...

RSIT:

info.txt logfile of random's system information tool 1.06 2009-09-03 23:22:26

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Audacity 1.3.5 (Unicode)-->"C:\Programme\Audacity 1.3\unins000.exe"
BitComet FLV Converter 1.0-->C:\Programme\BitComet FLV Converter\uninst.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
Intel(R) PROSet-->MsiExec.exe /I{74C9DFA1-338F-4bf3-B317-99A9EC8EF9A6}
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Last.fm 1.5.4.24567-->"C:\Programme\scrobbler last.fm\Last.fm\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mobile Connect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7 -removeonly
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
PowerTools Lite-->"C:\Programme\PowerTools Lite\unins000.exe"
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SbX Rechnungswesen HLWFW 1I 08-09-->"C:\Programme\SbX-Manz\Rechnungswesen HLWFW 1I 08-09 - 9783706830775\unins000.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe"
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Trust WB-1400T Webcam-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{30837A37-8F9F-4817-8B52-C501B67DC3BE} /l1031
Unlocker 1.8.7-->C:\Programme\Unlocker\uninst.exe
Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6i-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
YAMAHA Musicsoft Downloader 5-->C:\Programme\InstallShield Installation Information\{6D3C6846-CDB6-418F-8FDB-DA21FE064F86}\setup.exe -runfromtemp -l0x0007 -removeonly

=====HijackThis Backups=====

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-02]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-04-02]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-04-02]
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-09]
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe [2009-04-22]
O4 - HKCU\..\Run: [winlog.exe] C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe [2009-09-03]

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======System event log======

Computer Name: **
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Kompatibilität für schnelle Benutzerumschaltung" gesendet.

Record Number: 5413
Source Name: Service Control Manager
Time Written: 20090723145221.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: **
Event Code: 7036
Message: Dienst "Terminaldienste" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5412
Source Name: Service Control Manager
Time Written: 20090723145220.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 4202
Message: Es wurde festgestellt, dass der Netzwerkadapter "Intel(R)...Mobile Connection - Paketplaner-Miniport" vom Netzwerk getrennt wurde,
und dass die Netzwerkkonfiguration des Adapters freigegeben wurde. Möglicherweise
ist der Adapter beschädigt, falls der Adapter nicht vom Netzwerk getrennt wurde.
Wenden Sie sich an den Hersteller bezüglich aktueller Treiber.

Record Number: 5411
Source Name: Tcpip
Time Written: 20090723145215.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 7036
Message: Dienst "Computerbrowser" befindet sich jetzt im Status "Beendet".

Record Number: 5410
Source Name: Service Control Manager
Time Written: 20090723145207.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 7036
Message: Dienst "RAS-Verbindungsverwaltung" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5409
Source Name: Service Control Manager
Time Written: 20090723145205.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: **
Event Code: 102
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 3205
Source Name: ESENT
Time Written: 20090903165707.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 100
Message: MsnMsgr (1616) Das Datenbankmodul 5.01.2600.2180 ist gestartet.

Record Number: 3204
Source Name: ESENT
Time Written: 20090903165707.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 101
Message: MsnMsgr (1616) Das Datenbankmodul wurde beendet.

Record Number: 3203
Source Name: ESENT
Time Written: 20090903165632.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 103
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat die Instanz (0) beendet.

Record Number: 3202
Source Name: ESENT
Time Written: 20090903165632.000000+120
Event Type: Informationen
User:

Computer Name: **
Event Code: 102
Message: MsnMsgr (1616) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat eine neue Instanz gestartet (0).

Record Number: 3201
Source Name: ESENT
Time Written: 20090903132017.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0905
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

Liebe Grüße, freakout

Alt 03.09.2009, 23:04   #7
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Hallo Miss Addicted,

jetzt bin ich neugierig geworden. Den nächsten Schritt brauchst du nur dann zu tun, wenn du genau wissen möchtest, was es eigentlich war.

Hole die Datei winlog.exe aus der Quarantäne von Malwarebytes und lade sie bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Bei Malwarebytes solltest du einen vollständigen Scan machen. Steht so auch in der Anleitung, bitte nachholen.

1.) Deinstalliere:
  • Apple Software Update
  • Bonjour
  • Google Toolbar for Internet Explorer
  • Java(TM) 6 Update 11
  • MSIE 7
  • Spybot - Search & Destroy
  • VideoLAN VLC media player 0.8.6i
2.) Installiere (Toolbars immer abwählen, Haken weg):3.) Start => Ausführen => cmd => OK
Code:
ATTFilter
sc stop JavaQuickStarterService [Enter]
sc delete JavaQuickStarterService [Enter]
sc stop gusvc [Enter]
sc delete gusvc [Enter]
sc stop "Bonjour Service" [Enter]
sc delete "Bonjour Service" [Enter]
exit [Enter]
         
4.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O2, O3, O8, O9 und O16-Einträge
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
         
=> Fix checked => Neustart => Neues HJT-Log posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.09.2009, 23:18   #8
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Werd ich machen, bin auch neugierig

Heißt das, das Problem ist jetzt behoben? *auf Freudentanz vorbereit*

Soweit ich mich erinnern kann, hab ich bei Malewarebytes einen vollen Scan gemacht, so wie es in der Anleitung gestanden ist

Du hast ja geschrieben, ich solle die Google Toolbar und Spybot deinstalliern. Warum denn das?

Und ist es unbedingt notwendig, den IE 8 zu installieren? (Nicht, dass ich jetzt aufmüpfig sein will Bin nur ein Gewohnheitstier )

Liebe Grüße

EDIT: Okay, hab grad gesehen dass ich keinen Komplettscan gemacht hab... Tja wenn man oben und unten nicht unterscheiden kann *seufz*

Alt 03.09.2009, 23:27   #9
john.doe
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Zitat:
Heißt das, das Problem ist jetzt behoben? *auf Freudentanz vorbereit*
Ja. Wir können zur Sicherheit auch noch weitere Scans machen, falls du möchtest.
Zitat:
Soweit ich mich erinnern kann, hab ich bei Malewarebytes einen vollen Scan gemacht, so wie es in der Anleitung gestanden ist
Zitat:
Scan-Methode: Quick-Scan
Zitat:
Du hast ja geschrieben, ich solle die Google Toolbar und Spybot deinstalliern. Warum denn das?
Falls du die Google-Toolbar bewußt installiert hast, dann kannst du sie behalten. Spybot hat die besten Tage schon lange hinter sich. Du hast jetzt Malwarebytes, der ist besser, wie du ja selbst gesehen hast.
Zitat:
Und ist es unbedingt notwendig, den IE 8 zu installieren?
Aus Sicherheitsgründen sollte immer mit der aktuellen Software gearbeitet werden. Falls dir Sicherheit nicht so wichtig ist, dann behalte den 7er. Falls dir Sicherheit wichtig ist, dann solltest du sowieso lieber mit einem vernünftigen Browser wie Firefox oder Opera surfen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.09.2009, 23:31   #10
freakout
 
winlog.exe ist Backdoor.Agobot.LF? - Standard

winlog.exe ist Backdoor.Agobot.LF?



Wegen Deinstallation und Installation: Meine Fragen sind beantwortet, vielen Dank

Ich trau mich das jetzt fast nicht zu sagen, aber ich hab grad eben nochmal versucht einen USB-Stick zu öffnen... Und die Winlog.exe ist wieder da Kann das daran liegen, dass sie noch in der Quarantäne lag?
(Wo finde ich den Quarantäneordner eigentlich? Hab schon gesucht wegen dem Upload, finde ihn aber nicht...)

Und ich hab mich schon gefreut

Antwort

Themen zu winlog.exe ist Backdoor.Agobot.LF?
aufsetzen, auswertung, dll, einstellungen, fehlermeldung, frage, google, hijack, hijackthis, laptop, logfile, microsoft, namen, nicht vorhanden, problem, prozess, registry, scan, schnelle hilfe, spybot, system, temp, usb-stick, verbindung, virenscanner, win xp, öffnen




Ähnliche Themen: winlog.exe ist Backdoor.Agobot.LF?


  1. TR/ATRAPS.Gen bzw. Agobot-Infekt?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (36)
  2. Agobot-ku worm
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (14)
  3. Agobot-ku worm
    Plagegeister aller Art und deren Bekämpfung - 17.10.2009 (4)
  4. W32/Rbot-ZZ, Backdoor.IRC.Aladinz.L und W32/Agobot-LF?
    Log-Analyse und Auswertung - 25.09.2007 (9)
  5. Agobot ku steht im Autostart
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (10)
  6. Agobot eingefangen
    Log-Analyse und Auswertung - 12.08.2006 (12)
  7. W32/Agobot-BM
    Log-Analyse und Auswertung - 02.09.2005 (16)
  8. agobot 525097 hilfe bitte
    Plagegeister aller Art und deren Bekämpfung - 28.08.2005 (7)
  9. Backdoor.Win32.Agobot.aal
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (1)
  10. Backdoor.Win32.Agobot.aal
    Plagegeister aller Art und deren Bekämpfung - 23.03.2005 (2)
  11. Backdoor.Agobot.ID?
    Log-Analyse und Auswertung - 16.01.2005 (8)
  12. Worm Agobot
    Log-Analyse und Auswertung - 19.12.2004 (1)
  13. Wurm/Agobot.136218
    Antiviren-, Firewall- und andere Schutzprogramme - 30.11.2004 (1)
  14. Hilfe bei Agobot 136218
    Log-Analyse und Auswertung - 07.11.2004 (2)
  15. Hilfe backdoor.agobot.vt brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2004 (1)
  16. hilfe....agobot
    Plagegeister aller Art und deren Bekämpfung - 27.07.2004 (1)
  17. Agobot / Gaobot - wer kann helfen???
    Plagegeister aller Art und deren Bekämpfung - 13.11.2003 (3)

Zum Thema winlog.exe ist Backdoor.Agobot.LF? - Hallo liebe Helfer. Ich bin mir zwar nicht zu hunderprozent sicher, ob es sich hier um einen Trojaner/Viren/Wurmbefall handelt, hab aber eine Vermutung. Als ich heute einen USB-Stick an meinen - winlog.exe ist Backdoor.Agobot.LF?...
Archiv
Du betrachtest: winlog.exe ist Backdoor.Agobot.LF? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.