"Trojan.Agent" kann nicht entfernt werden

*Pipo* · 01.11.2009, 20:25

Servus an alle Helfer,

kann o.a. Trojaner leider nicht entfernen und suche um Rat. Folgende Programme (jeweils aktuellste Version) habe ich durchlaufen lassen:

Free AV: keine Funde
Adaware: keine Funde
Spybot: keine Funde
Malwarebytes Antimalware: 5 Funde (siehe unten)

leider konnten sämtliche Funde nach mehrmaligen Neustarts nicht entfernt werden.

Bitte um eure Hilfe,
Danke!

******************************************

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3080
Windows 6.0.6000

01.11.2009 20:13:49
mbam-log-2009-11-01 (20-13-49).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 107965
Laufzeit: 6 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\***\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot.
C:\Users\***\AppData\Roaming\m\shared (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\Users\***\AppData\Roaming\m\shared\Docsmartz Professional (Trojan.Agent) -> Delete on reboot.
C:\Users\***\AppData\Roaming\m\shared\Perfect Day (Trojan.Agent) -> Delete on reboot.
C:\Users\***\AppData\Roaming\m\shared\Pompolic (Trojan.Agent) -> Delete on reboot.

******************************************

undoreal · 01.11.2009, 20:46

Nabend Pipo.

Arbeite bitte das hier ab:
http://freenet-homepage.de/rene-gad/...Anleitung.html
Die .zip Archive von AVZ lade bitte bei rapidshare hoch und poste den downloadlink. Das HjT log kannst du direkt posten.

*Pipo* · 04.11.2009, 18:52

Hab jetzt alles durch.
Die "Hosts file" Listen von AVZ habe ich gelöscht.

h**p://rapidshare.de/files/48632736/virusinfo_syscheck.zip.html
h**p://rapidshare.de/files/48632754/virusinfo_syscure.zip.html

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:04:18, on 03.11.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIBUKEY\Server\WkSvMgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Suchen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Hofer_FotoSuite_Download] "C:\Program Files\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\iexplore.exe.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'Default user')
O4 - Global Startup: Netzwerk Server.lnk = C:\Program Files\WIBUKEY\Server\WkSvMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://intertops.gameassists.co.uk/IntertopsDe/FlashAX2.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\Hofer Foto Service\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c995f798755c0b) (gupdate1c995f798755c0b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 9157 bytes

undoreal · 04.11.2009, 19:30

Zitat:

Die "Hosts file" Listen von AVZ habe ich gelöscht.

Wie? Was hast du wie gemacht?

Ich hoffe du hast nicht irgendetwas selbstständig gelöscht?

Wie ich sehe hast du AdAware installiert? Und das auch noch zwischen beiden AVZ scans?

Warum tust du sowas?

Bitte mache ab jetzt nichts mehr ohne, dass du Anweisung von uns dazu bekommen hast. Ansonsten geht das hier drunter und drüber.

Führe bitte folgendes AVZ-Skript aus:

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\', '*.tmp*', true);
 DeleteFile('C:\Windows\system32\Drivers\utqzntix.sys');
 DeleteFile('C:\Windows\Installer\300e829.msi');
 DeleteFile('E:\autorun.inf');
 DelBHO('2670000A-7350-4f3c-8081-5663EE0C6C49');
 DelBHO('7F9DB11C-E358-4ca6-A83D-ACC663939424');
 DelBHO('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelBHO('DFB852A3-47F8-48C4-A200-58CAB36FD2A2');
 DelCLSID('911051fa-c21c-4246-b470-070cd8df6dc4');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
BC_Activate;
RebootWindows(true);
end.

*Pipo* · 05.11.2009, 16:30

Wie? Was hast du wie gemacht?
>>> Ich habe die "Hosts file" Listen nur im Auswertungs-Log (=I-Net-Historie) gelöscht, in den Programmeinstellungen selbstverständlich nichts.

Ich hoffe du hast nicht irgendetwas selbstständig gelöscht?
>>> s.o.

Wie ich sehe hast du AdAware installiert? Und das auch noch zwischen beiden AVZ scans?
>>> sicher nicht.

Warum tust du sowas?
>>> s.o.

Bitte mache ab jetzt nichts mehr ohne, dass du Anweisung von uns dazu bekommen hast. Ansonsten geht das hier drunter und drüber.
>>> ja, werde ich mir zu Herzen nehemen, habe ausser den "Hosts file" Listen auch sonst nichts gegenteiliges gemacht.

1-Script habe ich erfolgreich ausgeführt
2-autom. Neustart
3-Beschreibung meines Computerzustandes: Danach habe ich Malware´s Antimalwarescan durchgeführt und es wurden wieder 5 Einträge gefunden.

Bitte um Hilfe.
Danke!

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3103
Windows 6.0.6000

05.11.2009 08:43:51
mbam-log-2009-11-05 (08-43-51).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 110923
Laufzeit: 6 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\***\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot.
C:\Users\***\AppData\Roaming\m\shared (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\Users\***\AppData\Roaming\m\shared\Docsmartz Professional (Trojan.Agent) -> Delete on reboot.
C:\Users\***\AppData\Roaming\m\shared\Perfect Day (Trojan.Agent) -> Delete on reboot.
C:\Users\***\AppData\Roaming\m\shared\Pompolic (Trojan.Agent) -> Delete on reboot.

undoreal · 05.11.2009, 16:37

Ich raffe nicht was du gemacht hast.

Hast du nachdem das log erstellt wurde in der log Datei selbst die Host File Einträge verändert?
Das ist garnicht gut, denn wenn die Host Datei infiziert ist dann muss ich das sehen können. Ansonsten kann ich dir nicht helfen.

Poste bitte zwei frische logs wie es in der AVZ Anleitung beschrieben wird und hänge diese an deinen nächsten Post an. Verändere nichts an irgendwelchen Host Dateien oder Internet Verläufen und verändere erst Recht keine log Dateien!

*Pipo* · 05.11.2009, 16:43

Soll ich die original-Logs hochladen oder den gesamten 3-Tages Scan noch einmal beginnen?

undoreal · 05.11.2009, 16:45

Nur die beiden AVZ logs nach dier Anleitunng erstellen:
AVZ
Das sollte keine 3 Tage dauern!

*Pipo* · 05.11.2009, 16:47

bei mir schon. Volle 3 Tage o. Unterbrechg.

undoreal · 05.11.2009, 18:14

Es hat 3 Tage gedauert die AVZ logs zu erstellen?

Das ist ja viel zu lange. Ein Wunder, dass die überhaupt ncoh fertig geworden sind. Was hast du denn für einen Rechner?

Dann scanne mal lieber vorher mit Malwarebytes und gucke ob das schneller geht.

*Pipo* · 05.11.2009, 22:01

Jetzt ist es deutlich schneller gegangen (19 min.). Hier die neuesten Ergebnisse:

h**p://rapidshare.de/files/48639015/virusinfo_syscheck.zip.html
h**p://rapidshare.de/files/48639016/virusinfo_syscure.zip.html

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:04, on 05.11.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_SL.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WIBUKEY\Server\WkSvMgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Hofer_FotoSuite_Download] "C:\Program Files\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\iexplore.exe.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'Default user')
O4 - Global Startup: Netzwerk Server.lnk = C:\Program Files\WIBUKEY\Server\WkSvMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://intertops.gameassists.co.uk/IntertopsDe/FlashAX2.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\Hofer Foto Service\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c995f798755c0b) (gupdate1c995f798755c0b) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 8287 bytes

undoreal · 06.11.2009, 06:24

Du hast Spybot mal installiert gehabt oder?

Das ist der Grund warum deine Host Datei so zugemüllt ist. Bitte deinstalliere falls noch nicht geschehen Spybot und AdAware. Beide Programme sind Mist..
Und lass mal bitte das Norton Remmoval Tool laufen: http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039
Da sind noch einige Reste auf dem Computer.

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('8FFBE65D-2C9C-4669-84BD-5829DC0B603C');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.

Dein Rechner ist sauber.

*Pipo* · 06.11.2009, 07:26

Spybot und AdAware wurden deinstalliert.
Norton Remmoval Tool wurde erfolgreich ausgeführt.
Dennoch wieder folgende Auswertung:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3103
Windows 6.0.6000

06.11.2009 07:23:31
mbam-log-2009-11-06 (07-23-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 107643
Laufzeit: 4 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Users\Pipo\AppData\Roaming\m (Trojan.Agent) -> Delete on reboot.
C:\Users\Pipo\AppData\Roaming\m\shared (Trojan.Agent) -> Delete on reboot.

Infizierte Dateien:
C:\Users\Pipo\AppData\Roaming\m\shared\Docsmartz Professional (Trojan.Agent) -> Delete on reboot.
C:\Users\Pipo\AppData\Roaming\m\shared\Perfect Day (Trojan.Agent) -> Delete on reboot.
C:\Users\Pipo\AppData\Roaming\m\shared\Pompolic (Trojan.Agent) -> Delete on reboot.

undoreal · 06.11.2009, 07:57

Von meiner Warte aus sieht der Rechner sauber aus.

Die Ordner die MBMA da anprangert gehören normalerweise zu Bagle. Aber da ist kein Bagle. Denn weder MBMA findet irgendwas (mit Ausnahme der leeren Ordner) noch sieht AVZ bzw. ich etwas.

Du kannst ja nochmal per Live CD scannen. Wenn die auch nichts weltbewegendes findet dann würde ich mal im Malwarebytes Forum posten und die nach ihrer Meinung fragen.

Antivirus Live-CD

Drucke dir diese Anleitung aus da sie dir während du mit der Live-CD arbeitest nicht zur Verfügung steht!

1. Brennen und Starten der LiveCD:

Downloade dir dieses Archiv:

Code:

ATTFilter

http://qshare.com/get/866107/MultiAVBootCD.zip.html

Entpacke die Datei in einen eigenen Ordner. Das Passwort lautet: LiveCD2009
Brenne die entpackte .iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP
Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und einen Auswahlbildschirm auf Italienisch anzeigen. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft )

2. Datensicherung:

Wähle im Auswahlbildschirm die zweite Option (Menu antivirus) aus.
Im folgenden Auswahlbildschirm wähle den zweiten Eintrag (Avvio die GDATA) aus.
Das G-Data Rettungssystem startet nun.
Du wirst automatisch gefragt ob die Virus Signatures aktuallisiert werden sollen bestätige erst durch drücken des Si Buttons und danach mit Ok.
Warte bis das Update beendet ist (100%) und schließe das Fenster durch Klicken des Chiudi Buttons.
Danach kannst du das G-Data AntiVirus Fenster erstmal schließen.
Öffne den File Manager (Gestione file) durch drücken des Akten Zeichens in der Taskleiste.
Navigiere zu deinen Festplatten. Diese finden sich im Menü auf der Linken Seite unter Filesystem -> mnt
Stecke deinen USB-Stick oder deine externe Festplatte in einen freien USB-Slot.
Öffne den File Manager ein zweites mal und navigiere zu deinen USB-Stick. Dieser findet sich als letzter Eintrag im Menü des File Managers auf der Linken Seite.
Nun hast du zwei Fenster geöffnet zwischen denen du per Drag&Drop bzw. Copy&Paste Daten verschieben kannst.
Sichere deine wichtigen Dokumente. Allerdings so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben.
b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.
c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

3. Schädlingssuche:

Viele Rootkits verändern beim Windows Start ihren Namen. Daher ist es wichtig, dass während der folgenden Prozedur der Rechner nie das normale Windows Betriebssystem startet sondern immer von der LiveCD bootet. Solltest du mal nicht schnell genug die CD ins Laufwerk bekommen oder das BootMenü verpassen so drücke den Reset Knopf am Computer um zu verhindern, dass Windows gestartet wird.

G-DATA:

Starte nun die Schädlingssuche.
Anfallende Log/Bericht Dateien speichere unbedingt!!
Schreibe dir außerdem die Funde ab!!
Nachdem G-Data durch ist starte den Rechner neu.

F-Secure:

Boote wieder von der CD und mache mit F-Secure weiter (Avvio di F-Secure).
F-Secure updatet sich von alleine. Klicke dich durch die Dialoge und starte den Scan.
Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
Nachdem der Scan beendet ist starte den Rechner neu.

DrWeb:

Boote wieder von der CD und wähle (Avvio di DrWeb) aus.
Danach wähle den ersten Eintrag DrWeb-LiveCD aus.
Klicke im Hauptfenster unbedingt den grünen Button (Update Bases)!
Danach starte den Scan durch drücken des Start Buttons.
Log/Bericht Dateien auf jeden Fall speichern und Funde abschreiben!!
Nachdem der Scan beendet ist starte den Rechner neu.

Kaspersky:

Boote wieder von der CD und wähle (Avvio di kaspersky) aus.
Danach wähle den ersten Eintrag rescue aus.
Kasperksy09 startet. Das Update sollte automatisch starten. Wechsel in den Update Reiter und stelle sicher, dass das Update durchgeführt wird. Startet das Update nicht so starte es bitte manuell. Warte bis das Update beendet wurde und die Siganturen aktuell sind.
Setze unter Settings -> Scan: den Haken bei All Archives.
Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen.
Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan.
Ist der Scan beendet rufe das log auf und speichere es.
Schreibe dir außerdem wie immer alle Funde auf ein Blatt Papier ab!!

Alle Log/Bericht Dateien sowie die abgeschriebenen Funde packe bitte per G-Data Rettungssystem wie oben beschrieben auf einen USB-Stick und poste sie uns. Dazu musst du einen anderen PC benutzen da du den infizierten Rechner wie gesagt nur über die Live CD booten darfst bis du von uns andere Anweisungen bekommst.
Solltest du keinen anderen PC zur Verfügung haben bietet das DrWeb Live System einen integrierten FireFox an. Du kannst also von der DrWeb-LiveCD booten, FireFox aufrufen, das Trojaner-Board besuchen und uns die Funde posten.

01.11.2009, 20:46	#2
undoreal /// AVZ-Toolkit Guru	"Trojan.Agent" kann nicht entfernt werden Nabend Pipo. Arbeite bitte das hier ab: http://freenet-homepage.de/rene-gad/...Anleitung.html Die .zip Archive von AVZ lade bitte bei rapidshare hoch und poste den downloadlink. Das HjT log kannst du direkt posten. __________________ __________________

05.11.2009, 16:45	#8
undoreal /// AVZ-Toolkit Guru	"Trojan.Agent" kann nicht entfernt werden Nur die beiden AVZ logs nach dier Anleitunng erstellen: AVZ Das sollte keine 3 Tage dauern! __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

"Trojan.Agent" kann nicht entfernt werden

Plagegeister aller Art und deren Bekämpfung: "Trojan.Agent" kann nicht entfernt werden