Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Backdoor.Win32.Shark und Trojan.Agent.IRC

Backdoor.Win32.Shark und Trojan.Agent.IRC


Log-Analyse und Auswertung: Backdoor.Win32.Shark und Trojan.Agent.IRC

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 3 1 23
Alt 26.09.2009, 17:24   #1
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Hallo Leute,

Ich hab gestern 2 zweifelhafte Dateien einfach mal so bei h**p://virusscan.jotti.org/de
und
h**p://www.virustotal.com/de/ hochgeladen und gescannt.

Datei 1:
-virustotal
Hier haben 8 von 41 Scannern was gefunden. Laut CAT-QuickHeal ist es: Trojan.Agent.IRC
-Bei jotti gab es keine Ergebnisse!


Datei 2:
-jotti
2 Scanner sagen es ist: Backdoor.Win32.Shark bzw. Backdoor.Win32.Shark!IK
-virustotal
Hier wird es von 3 Scannern bestätigt.

Die erste Datei hab ich gelöscht, da ich sie nicht wirklich brauchte.
Bei der zweiten Datei ist es halt so, dass ich sie schon gerne behalten würde. Aber da sie verseucht ist, weiss ich nicht was ich machen soll
Könnte ich die Datei vlt behalten und sie evt unschädlich machen?

Habe dann mein System mit CCleaner gescannt, dann mit Malwarebytes-Anti-Malware und zuletzt RSIT durchgeführt!

Log von Anti-Malware:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2862
Windows 6.0.6002 Service Pack 2

26.09.2009 17:31:12
mbam-log-2009-09-26 (17-31-12).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 304929
Laufzeit: 30 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\Desktop\super_pi_mod-1.5\super_pi_mod.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.


Hier der Log von RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Medved at 2009-09-26 18:20:18
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 179 GB (60%) free of 300 GB
Total RAM: 4094 MB (69% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:19, on 26.09.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\LG Soft India\forteManager\bin\Monitor.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe
C:\Program Files (x86)\Razer\DeathAdder\razertra.exe
C:\Program Files (x86)\Razer\DeathAdder\razerofa.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Medved\Desktop\RSIT.exe
C:\Program Files (x86)\trend micro\Medved.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {8a194578-81ea-4850-9911-13ba2d71efbd} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DeathAdder] "C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe"
O4 - HKLM\..\Run: [EVGAPrecision] "C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe" /s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: forteManager.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Update Service (gupdate1c9f312f1eca762) (gupdate1c9f312f1eca762) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6880 bytes

======Scheduled tasks folder======

C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8a194578-81ea-4850-9911-13ba2d71efbd} ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"DeathAdder"=C:\Program Files (x86)\Razer\DeathAdder\razerhid.exe [2007-09-07 159744]
"EVGAPrecision"=C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe [2009-04-28 44048]
"ISUSScheduler"=C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [2004-04-13 69632]
" Malwarebytes Anti-Malware (reboot)"=C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1555968]
"ISUSPM Startup"=C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [2004-04-17 196608]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
forteManager.lnk - C:\Program Files (x86)\LG Soft India\forteManager\bin\Monitor.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~2\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=
"ForceActiveDesktopOn"=
"BindDirectlyToPropertySetStorage"=
"NoActiveDesktopChanges"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a875614-2f2e-11de-bdb7-00248c01f889}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28b4ad5d-a62a-11de-8643-00248c01f889}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da91eb12-3e27-11de-a8dd-00248c01f889}]
shell\Auto\command - F:\tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\tbytfyhgv.exe


======List of files/folders created in the last 1 months======

2009-09-26 17:36:38 ----D---- C:\Program Files (x86)\trend micro
2009-09-26 17:36:37 ----D---- C:\rsit
2009-09-26 16:52:43 ----D---- C:\Users\Medved\AppData\Roaming\Malwarebytes
2009-09-26 16:52:39 ----D---- C:\ProgramData\Malwarebytes
2009-09-26 16:52:39 ----D---- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2009-09-26 16:46:08 ----D---- C:\Program Files (x86)\CCleaner
2009-09-26 11:34:23 ----SHD---- C:\Config.Msi
2009-09-26 00:26:51 ----D---- C:\ProgramData\Kaspersky Lab
2009-09-26 00:26:05 ----D---- C:\ProgramData\Kaspersky Lab Setup Files
2009-09-17 17:12:34 ----D---- C:\Program Files (x86)\NVIDIA Corporation
2009-09-16 13:49:16 ----A---- C:\Program Files (x86)\uninstall.exe
2009-09-16 13:49:15 ----D---- C:\Program Files (x86)\HELP
2009-09-16 12:28:48 ----D---- C:\Windows\PLAYXPERT In-Game Platform
2009-08-29 13:26:30 ----A---- C:\Program Files (x86)\fraps64.dll
2009-08-29 13:25:52 ----A---- C:\Program Files (x86)\fraps.dll
2009-08-29 13:24:48 ----A---- C:\Program Files (x86)\fraps.exe
2009-08-29 13:19:36 ----A---- C:\Windows\system32\frapsvid.dll
2009-08-29 13:19:04 ----A---- C:\Program Files (x86)\frapslcd.dll
2009-08-29 07:15:26 ----A---- C:\Program Files (x86)\changes.txt

======List of files/folders modified in the last 1 months======

2009-09-26 18:15:43 ----D---- C:\Windows\Temp
2009-09-26 17:39:36 ----D---- C:\Windows\System32
2009-09-26 17:39:36 ----D---- C:\Windows\inf
2009-09-26 17:38:17 ----D---- C:\Program Files (x86)\Mozilla Firefox
2009-09-26 17:36:43 ----D---- C:\Windows\Prefetch
2009-09-26 17:36:38 ----D---- C:\Program Files (x86)
2009-09-26 17:34:32 ----D---- C:\ProgramData\NVIDIA
2009-09-26 16:52:40 ----D---- C:\Windows\system32\drivers
2009-09-26 16:52:39 ----HD---- C:\ProgramData
2009-09-26 16:47:49 ----D---- C:\ProgramData\Spybot - Search & Destroy
2009-09-26 16:47:44 ----D---- C:\Windows\Minidump
2009-09-26 16:47:44 ----D---- C:\Windows\Debug
2009-09-26 16:47:44 ----D---- C:\Windows
2009-09-26 11:35:29 ----SHD---- C:\Windows\Installer
2009-09-26 00:26:30 ----SHD---- C:\System Volume Information
2009-09-20 19:02:22 ----D---- C:\Users\Medved\AppData\Roaming\dvdcss
2009-09-20 12:25:46 ----SD---- C:\Users\Medved\AppData\Roaming\Microsoft
2009-09-19 21:45:23 ----D---- C:\Program Files (x86)\Electronic Arts
2009-09-19 21:36:04 ----RSD---- C:\Windows\assembly
2009-09-18 17:55:50 ----RD---- C:\Program Files
2009-09-17 21:10:05 ----D---- C:\Users\Medved\AppData\Roaming\Folding@home-gpu
2009-09-17 17:12:11 ----D---- C:\Windows\Help
2009-09-17 17:11:53 ----D---- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2009-09-17 17:11:45 ----D---- C:\Program Files (x86)\AGEIA Technologies
2009-09-17 17:11:43 ----D---- C:\Windows\SysWOW64
2009-09-16 22:06:15 ----D---- C:\Users\Medved\AppData\Roaming\vlc
2009-09-16 20:25:18 ----D---- C:\Windows\Microsoft.NET
2009-09-16 12:46:52 ----D---- C:\Windows\Tasks
2009-09-16 12:46:50 ----D---- C:\Windows\registration
2009-09-16 12:09:38 ----D---- C:\Windows\winsxs

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AsIO;AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [2007-12-17 14392]
R2 atksgt;atksgt; C:\Windows\system32\DRIVERS\atksgt.sys []
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys []
R2 lirsgt;lirsgt; C:\Windows\system32\DRIVERS\lirsgt.sys []
R3 DAdderFltr;DeathAdder Mouse; C:\Windows\system32\drivers\dadder.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 ksthunk;Kernel Streaming Thunks; C:\Windows\system32\drivers\ksthunk.sys []
R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller; C:\Windows\system32\DRIVERS\L1E60x64.sys []
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys []
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys []
S3 cpuz132;cpuz132; \??\C:\Windows\system32\drivers\cpuz132_x64.sys []
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys []
S3 ENTECH64;ENTECH64; \??\C:\Windows\system32\DRIVERS\ENTECH64.sys [2007-09-07 12744]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys []
S3 LGDDCDevice;LGDDCDevice; \??\C:\Program Files (x86)\LG Soft India\forteManager\bin\I2CDriver.sys [2008-03-27 14336]
S3 LGII2CDevice;LGII2CDevice; \??\C:\Program Files (x86)\LG Soft India\forteManager\bin\PII2CDriver.sys [2008-03-27 13312]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys []
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys []
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys []
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys []
S3 SANDRA;SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP3a\WNt500x64\Sandra.sys []
S3 usbscan;USB-Scannertreiber; C:\Windows\system32\DRIVERS\usbscan.sys []
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys []
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys []
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys []
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2009-09-15 185089]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe []
R2 SBSDWSCService;SBSD Security Center Service; C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2009-08-17 239648]
S2 gupdate1c9f312f1eca762;Google Update Service (gupdate1c9f312f1eca762); C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2009-06-22 133104]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe []
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [2009-03-29 89920]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 PerfHost;@%systemroot%\sysWow64\perfhost.exe,-2; C:\Windows\SysWow64\perfhost.exe [2008-01-21 19968]

-----------------EOF-----------------

Alt 26.09.2009, 17:54   #2
Hausdoc
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Dein System ist fest in fremder Hand.
Aus diesem Grund sollte es erst mal umgehend (!) vom Netz genommen werden.
Weiteres folgt....
__________________
Alt 26.09.2009, 18:45   #3
john.doe
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Hallo und

Da kann ich mich fast nur noch anschließen. Du hast dich sehr wahrscheinlich über dein Laufwerk F: infiziert. Sollte es sich um einen externen Datenträger handeln, dann solltest du vor der Neuinstallation unbedingt den Datenträger säubern, denn andernfalls kann auch nach Neuinstallation eine sofortige Neuinfizierung anstehen.

Das Problem ist jedoch, dass du zusätzlich noch Vista 64bit hast, da versagen fast alle unsere Tools.

Die Funde von VT lesen sich wie RAT's. Wenn das keine Falschmeldungen sind, dann ist da nichts mehr zu retten. Falls du die Daten noch hast, dann lade sie bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas
__________________
__________________
Alt 26.09.2009, 19:57   #4
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Hey

Erstmal Danke für eure Antworten

Also es stimmt, F is meine usb Festplatte. Wie kann ich sie säubern, wenn ich sie als backup Festplatte benutzt hab? Irgenwelche Tools?

Ich will win 7 installieren, wens es rauskommt. Stellt sich die frage ob ich jetzt alles platt machen soll, oder warten bis zum Release, da Vista sowieso weg kommt.
Was stellen die Schadprogramme an?
Ich mein, wenns nix Schlimmes ist würd ich halt noch warten.
Was denkt ihr dazu?

Alt 26.09.2009, 20:04   #5
john.doe
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Dazu müsste ich wissen, was
Zitat:
c:\windows\system32\wcxvcfcaz.exe
F:\tbytfyhgv.exe
genau ist und macht. Sieht zumindest ziemlich ungesund aus. Entweder bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html oder bei VT auswerten lassen. Lies dir das hier vorher als Warnung durch => http://www.trojaner-board.de/77802-p...tzt-wurde.html

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 26.09.2009, 20:11   #6
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Hey

Also kann keine von den beiden Dateien finden????

Alt 26.09.2009, 20:17   #7
Hausdoc
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Mit diesem Rechner gehst du keine Sekunde mehr ans Netz.
Entweder jetzt sofort platt machen oder bis Ende Oktober ohne Internet leben.

Das mit Polizeibekanntschaft ist kein Horrorszenario.
.
Ich bekam erst vorletzte Woche nen Rechner rein auf dem 1,5 GB Fremddaten drauf waren. Manche Dateinamen ließen nichts gutes Vermuten.
Auf mein Anraten macht die Polizei davon grad ein Image zur Beweissicherung- vor dem Plätten.

Daß du diese Dateien jetzt nicht so einfach findest ist mir auch klar.... sie sind aber wirklich da.

Alt 26.09.2009, 20:21   #8
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


OK
Bin jetz am PC von meinen Eltern.
Was soll ich machen?
Warten bis win 7 rauskommt und dann PC neumachen, solange off line bleiben?

Alt 26.09.2009, 20:23   #9
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Kann ich vlt auch kurz hijack log file von dem PC machen, weil ich habe ne schlimme vermutung..

Alt 26.09.2009, 20:27   #10
john.doe
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Falls dein Rechner jetzt erledigt ist, dann ja, ansonsten gibt es Konfusionen. Im HJT-Log sind mittlerweile nur noch "ungefährliche" Schädlinge zu entdecken, besser sind RSIT- und Gmer-Logs.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 26.09.2009, 22:31   #11
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-26 23:26:40
Windows 6.0.6001 Service Pack 1
Running: vncj0xyj.exe; Driver: C:\Users\***\AppData\Local\Temp\kwddypog.sys


---- System - GMER 1.0.15 ----

SSDT 8B40F284 ZwCreateThread
SSDT 8B40F270 ZwOpenProcess
SSDT 8B40F275 ZwOpenThread
SSDT 8B40F27F ZwTerminateProcess
SSDT 8B40F27A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInsertQueue + 411 820A69C8 4 Bytes [84, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 5E1 820A6B98 4 Bytes [70, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 5FD 820A6BB4 4 Bytes [75, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 811 820A6DC8 4 Bytes [7F, F2, 40, 8B]
.text ntoskrnl.exe!KeInsertQueue + 871 820A6E28 4 Bytes [7A, F2, 40, 8B]

---- EOF - GMER 1.0.15 ----

Alt 26.09.2009, 22:35   #12
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


+

Logfile of random's system information tool 1.06 (written by random/random)
Run by miro at 2009-09-26 23:34:59
Microsoft® Windows Vista™ Home Premium Service Pack 1
System drive C: has 18 GB (23%) free of 78 GB
Total RAM: 3071 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:00, on 26.09.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\mobsync.exe
C:\Users\miro\Downloads\RSIT.exe
C:\Program Files\trend micro\miro.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4127 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{0124123D-61B4-456f-AF86-78C53A0790C5}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2008-07-08 13535776]
"RtHDVCpl"=C:\Windows\RtHDVCpl.exe [2008-08-27 6281760]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google EULA Launcher]
c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe [2008-05-28 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [2005-05-11 200069]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\Windows\system32\NvMcTray.dll [2008-07-08 92704]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
C:\Program Files\Windows Defender\MSASCui.exe [2008-01-21 1008184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e52bc5ea-b4df-11dd-89d4-0021859b276c}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2d50d7f-454d-11de-b55e-0021859b276c}]
shell\Auto\command - tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tbytfyhgv.exe


======List of files/folders created in the last 1 months======

2009-09-26 23:32:46 ----D---- C:\rsit
2009-09-26 23:32:46 ----D---- C:\Program Files\trend micro

======List of files/folders modified in the last 1 months======

2009-09-26 23:34:55 ----D---- C:\Windows\Temp
2009-09-26 23:34:47 ----D---- C:\Windows\System32
2009-09-26 23:34:47 ----D---- C:\Windows\inf
2009-09-26 23:34:47 ----A---- C:\Windows\system32\PerfStringBackup.INI
2009-09-26 23:32:58 ----D---- C:\Windows\Prefetch
2009-09-26 23:32:46 ----RD---- C:\Program Files
2009-09-26 22:09:22 ----SHD---- C:\System Volume Information
2009-09-14 21:12:03 ----D---- C:\Program Files\Mozilla Firefox

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [2009-05-28 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [2009-05-28 52056]
R3 CLEDX;Team H2O CLEDX service; C:\Windows\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2008-08-27 2163032]
R3 NVENETFD;NVIDIA nForce 10/100/1000 Mbps Ethernet ; C:\Windows\system32\DRIVERS\nvmfdx32.sys [2008-07-08 1050656]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2008-07-08 7468672]
R3 nvsmu;nvsmu; C:\Windows\system32\DRIVERS\nvsmu.sys [2008-07-22 15872]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-21 11264]
R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S2 Nsynas32;Nsynas32; C:\Windows\system32\drivers\Nsynas32.sys [2001-04-09 17784]
S3 drmkaud;Microsoft Kernel-DRM-Audioentschlüsselung; C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 EagleNT;EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys []
S3 ENTECH;ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.sys [2008-04-22 27672]
S3 HdAudAddService;Microsoft 1.1 UAA-Funktionstreiber für High Definition Audio-Dienst; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 MSKSSRV;Microsoft Streaming Service Proxy; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Microsoft Proxy für Streaming Clock; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Microsoft Proxy für Streaming Quality Manager; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S4 ahcix86s;ahcix86s; C:\Windows\system32\drivers\ahcix86s.sys [2008-05-27 173576]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 iaStor;Intel AHCI Controller; C:\Windows\system32\drivers\iastor.sys [2007-09-30 308248]
S4 JRAID;JRAID; C:\Windows\system32\drivers\jraid.sys [2008-04-03 76688]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2008-07-08 118784]
R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler; C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe [2008-04-25 303104]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 UPnPService;UPnPService; C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]

-----------------EOF-----------------

Alt 26.09.2009, 23:21   #13
john.doe
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Hm, da gibt es haufenweise Anzeichen für Schädlinge, obwohl die Logs wesentlich kürzer als deine sind.
Zitat:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe [2005-05-11 200069]
Lies die Userbewertungen, vor allem die Roten => cledx.exe Windows Prozess - Was ist das?
Zitat:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E 1~1.DLL [2006-10-27 2210608]
Gefällt mir nicht!
Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e52bc5ea-b4df-11dd-89d4-0021859b276c}]
shell\Auto\command - wcxvcfcaz.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wcxvcfcaz.exe
Eindeutig Schädling.
Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{f2d50d7f-454d-11de-b55e-0021859b276c}]
shell\Auto\command - tbytfyhgv.exe
shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tbytfyhgv.exe
Der auch.
Zitat:
S3 EagleNT;EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys []
Ich habe bis heute nicht herausgefunden, wozu der eigentlich gut ist, deshalb halte ich den für einen Schädling! Ich lösche den ungefragt weg, also wenn du Bereinigung möchtest, dann würde ich sehr viel Löschen. Die Entscheidung liegt bei dir.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 26.09.2009, 23:28   #14
musiQ
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


mit was denn?

Alt 26.09.2009, 23:31   #15
john.doe
 
Backdoor.Win32.Shark und Trojan.Agent.IRC - Standard

Backdoor.Win32.Shark und Trojan.Agent.IRC


Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort
Seite 1 von 3 1 23

Themen zu Backdoor.Win32.Shark und Trojan.Agent.IRC
antivir, antivir guard, avgntflt.sys, avira, bho, browser, c.exe, c:\windows\system32\rundll32.exe, device driver, diagnostics, error, firefox, folding, google, gupdate, hdaudio.sys, hijack.displayproperties, hijackthis, home, home premium, installation, internet, internet explorer, kaspersky, malwarebytes anti-malware, mozilla, nvlddmkm.sys, object, programdata, proxy, realtek, registrierungsschlüssel, registry, rundll, safer networking, security, senden, shell32.dll, software, start menu, super, system


« Hjack This. Werbung im IE öffnet sich automatisch | Problem mit ZoneAlarm sowie sämtlichen Firewalls »


Ähnliche Themen: Backdoor.Win32.Shark und Trojan.Agent.IRC


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  3. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  4. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  5. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  6. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  7. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  8. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  9. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  10. Sauber oder nicht (Trojan.Generic/Backdoor.Win32.Agent.afqs)
    Plagegeister aller Art und deren Bekämpfung - 21.04.2009 (0)
  11. Gefunden: Backdoor.Win32.Shark.dxa
    Log-Analyse und Auswertung - 07.04.2009 (8)
  12. Backdoor.Win32.Shark.dxa
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (0)
  13. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  14. Backdoor.Win32.Shark.akn
    Mülltonne - 03.12.2008 (4)
  15. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  16. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Backdoor.Win32.Shark und Trojan.Agent.IRC - Hallo Leute, Ich hab gestern 2 zweifelhafte Dateien einfach mal so bei h**p://virusscan.jotti.org/de und h**p://www.virustotal.com/de/ hochgeladen und gescannt. Datei 1: -virustotal Hier haben 8 von 41 Scannern was gefunden. Laut - Backdoor.Win32.Shark und Trojan.Agent.IRC...
Archiv
Du betrachtest: Backdoor.Win32.Shark und Trojan.Agent.IRC auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131