|
Log-Analyse und Auswertung: Trojan-download.agentWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.04.2010, 07:33 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-download.agent Naja, ich wollte damit ausdrücken, dass ich ich kein Hellseher bin und Du schon beschreiben solltest, was für Popups Du da genau meinst bzw welche gefunden wurden. So, da Du die Funde nachgreicht hast: 1.) Lade Dir von hier Avenger: http://swandog46.geekstogo.com/avenger2/avenger2.html (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: C:\WINDOWS\TEMP\0.40043518471053785.EXE folders to delete: C:\Windows\Temp\DVIG.TMP 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (13.04.2010 um 07:40 Uhr) |
13.04.2010, 12:18 | #17 |
| Trojan-download.agent Da hatte ich deine Fähigkeiten wohl etwas überschätzt
__________________Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\TEMP\0.40043518471053785.EXE" not found! Deletion of file "C:\WINDOWS\TEMP\0.40043518471053785.EXE" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Folder "C:\Windows\Temp\DVIG.TMP" deleted successfully. Completed script processing. ******************* Finished! Terminate. hxxp://www.file-upload.net/download-2431824/backup-13.04.2010-13.12.36-26.zip.html |
13.04.2010, 12:25 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-download.agent War da keine andere backup.zip? Das was Du hochgeladen hast war die alte aus dem ersten Durchgang...
__________________
__________________ |
13.04.2010, 13:01 | #19 |
| Trojan-download.agent Noch immer kommen dies Popups Spyware doctor findet auch Infizierungen. Leider weiss ich nicht, wie ich mit Spyware Doctor logs erstellen kann bzw. posten kann. Malwarebytes und SUPERAntiSpyware zeigen aber beide 0 Infizierungen an Evtl. kann ja das helfen: 13.04.2010 13:25:18:203 Scan gestartet Scan-Art - Vollständiger Scan 13.04.2010 13:25:20:171 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - ad.adition.net/ ad.adition.net 13.04.2010 13:25:20:328 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Adware.Advertising Typ - Cookie Risiko-Stufe - Niedrig Infektion - adtech.de/ adtech.de 13.04.2010 13:25:20:343 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - apmebf.com/ apmebf.com 13.04.2010 13:25:20:484 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - de.sitestat.com/ de.sitestat.com 13.04.2010 13:25:20:484 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - de.sitestat.com/ de.sitestat.com 13.04.2010 13:25:21:281 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - ivwbox.de/ ivwbox.de 13.04.2010 13:25:21:343 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Adware.Advertising Typ - Cookie Risiko-Stufe - Niedrig Infektion - mediaplex.com/ mediaplex.com 13.04.2010 13:25:22:78 Infektion wurde auf diesem Computer gefunden Name der Bedrohung - Application.TrackingCookies Typ - Cookie Risiko-Stufe - Niedrig Infektion - www.superantispyware.com/ www.superantispyware.com hxxp://www.file-upload.net/download-2431925/backup.zip.html |
13.04.2010, 13:13 | #20 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-download.agent Dann erstell mal ein Log mit GMER und poste es, da könnte noch ein Rootkit aktiv sein. Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
13.04.2010, 13:49 | #21 |
| Trojan-download.agent Ach ja, das sind die einzigen Funden von Spyware Doctor, die kamen nach dem der Explorer auf ging und so eine "Antivirus page" geladen hatte. Leider war ich nicht schnell genug in der Lage diese zu schliessen GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-13 14:46:19 Windows 5.1.2600 Service Pack 2 Running: l52u5l8j.exe; Driver: C:\DOKUME~1\PC10\LOKALE~1\Temp\fgtdapog.sys ---- System - GMER 1.0.15 ---- SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xB9DB3AC2] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xB9DC9EEE] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xB9DCA0E0] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xB9DB3CB6] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xB9DB3D5C] SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2] SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xB9DB39B2] SSDT sptd.sys ZwQueryKey [0xB9EC4418] SSDT sptd.sys ZwQueryValueKey [0xB9EC4298] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xB9DEAD72] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xB9DB3EF8] SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA91E6320] ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B8A0962C 5 Bytes JMP 8A2261C8 .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7F5C360, 0x3535DF, 0xE8000020] ? System32\Drivers\a1iwi8jo.SYS Das System kann den angegebenen Pfad nicht finden. ! .rsrc C:\WINDOWS\system32\DRIVERS\i8042prt.sys entry point in ".rsrc" section [0xAC338294] init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xAB6D52E0] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA8C56300, 0x3ACC8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA390300, 0x1B7E, 0xE8000020] pnidata C:\WINDOWS\system32\DRIVERS\secdrv.sys unknown last section [0xA8B8FF00, 0x24000, 0x48000000] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0097000A .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0098000A .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 3 Bytes JMP 0096000C .text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher + 4 7C91EAF0 1 Byte [84] .text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A .text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00C3000A .text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C .text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0052000A .text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0053000A .text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 0051000C ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9ED429A] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00802EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00802C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00802C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00802C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A44C1E8 AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBPDO-0 8A228790 Device \Driver\usbehci \Device\USBPDO-1 8A231790 AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A44E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A44E1E8 Device \Driver\Cdrom \Device\CdRom0 8A1741E8 Device \Driver\Cdrom \Device\CdRom1 8A1741E8 Device \Driver\atapi \Device\Ide\IdePort0 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A4C01E8 Device \Driver\atapi \Device\Ide\IdePort1 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A4C01E8 Device \Driver\Cdrom \Device\CdRom2 8A1741E8 Device \Driver\usbstor \Device\00000080 89FD5790 Device \Driver\NetBT \Device\NetBt_Wins_Export 89F37790 Device \Driver\NetBT \Device\NetbiosSmb 89F37790 Device \Driver\usbstor \Device\00000079 89FD5790 Device \Driver\PCI_NTPNP5970 \Device\0000004d sptd.sys AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBFDO-0 8A228790 Device \Driver\usbehci \Device\USBFDO-1 8A231790 Device \Driver\nvata \Device\NvAta0 8A44D1E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F9C790 Device \Driver\nvata \Device\NvAta1 8A44D1E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{9E55F02A-1DD5-487C-9D08-9779006E6F16} 89F37790 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F9C790 Device \Driver\usbstor \Device\0000007d 89FD5790 Device \Driver\Ftdisk \Device\FtControl 8A44E1E8 Device \Driver\usbstor \Device\0000007e 89FD5790 Device \Driver\usbstor \Device\0000007f 89FD5790 Device \Driver\a1iwi8jo \Device\Scsi\a1iwi8jo1 8A0CF1E8 Device \Driver\a1iwi8jo \Device\Scsi\a1iwi8jo1Port4Path0Target0Lun0 8A0CF1E8 Device \FileSystem\Cdfs \Cdfs 89F85790 Device -> \Driver\nvata \Device\Harddisk0\DR0 892FAAC8 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\DRIVERS\i8042prt.sys suspicious modification File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification ---- EOF - GMER 1.0.15 ---- Geändert von Sofiane (13.04.2010 um 13:54 Uhr) |
13.04.2010, 14:22 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-download.agent Lad Dir diese saubere Datei bitte mal direkt auf C: herunter => File-Upload.net - i8042prt.sys Danach Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to move: c:\i8042prt.sys | c:\windows\system32\drivers\i8042prt.sys 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Neues Log mit GMER erstellen und posten
__________________ Logfiles bitte immer in CODE-Tags posten |
13.04.2010, 14:32 | #23 |
| Trojan-download.agent Ok nr.1 fertig nr.2 folgt gleich Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File move operation "c:\i8042prt.sys|c:\windows\system32\drivers\i8042prt.sys" completed successfully. Completed script processing. ******************* Finished! Terminate. |
13.04.2010, 15:53 | #24 |
| Trojan-download.agent Das Nr.2. Leider konnte ich den Beitrag zuvor nicht mehr bearbeiten. Tut mir leid wegen dem doppelpost. GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-04-13 16:31:01 Windows 5.1.2600 Service Pack 2 Running: l52u5l8j.exe; Driver: C:\DOKUME~1\PC10\LOKALE~1\Temp\fgtdapog.sys ---- System - GMER 1.0.15 ---- SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xB9DB3AC2] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xB9DC9EEE] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xB9DCA0E0] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xB9DB3CB6] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xB9DB3D5C] SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2] SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xB9DB39B2] SSDT sptd.sys ZwQueryKey [0xB9EC4418] SSDT sptd.sys ZwQueryValueKey [0xB9EC4298] SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xB9DEAD72] SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xB9DB3EF8] SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAB0E6320] ---- Kernel code sections - GMER 1.0.15 ---- ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B86F562C 5 Bytes JMP 8A28D1C8 .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7C48360, 0x3535DF, 0xE8000020] ? System32\Drivers\agc89ffs.SYS Das System kann den angegebenen Pfad nicht finden. ! init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xA7BAD2E0] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA58D3300, 0x3ACC8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB476F300, 0x1B7E, 0xE8000020] pnidata C:\WINDOWS\system32\DRIVERS\secdrv.sys unknown last section [0xA580CF00, 0x24000, 0x48000000] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01B42EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01B42C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01B42C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01B42C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003A2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003A2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003A2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003A2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.) ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A44C1E8 AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools) AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBPDO-0 8A256790 Device \Driver\usbehci \Device\USBPDO-1 8A28B5E0 AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A44E1E8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A44E1E8 Device \Driver\Cdrom \Device\CdRom0 8A1861E8 Device \Driver\nvata \Device\00000072 8A44D1E8 Device \Driver\Cdrom \Device\CdRom1 8A1861E8 Device \Driver\atapi \Device\Ide\IdePort0 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A4C01E8 Device \Driver\atapi \Device\Ide\IdePort1 8A4C01E8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A4C01E8 Device \Driver\Cdrom \Device\CdRom2 8A1861E8 Device \Driver\usbstor \Device\00000080 8939F6C0 Device \Driver\NetBT \Device\NetBt_Wins_Export 89EA5790 Device \Driver\NetBT \Device\NetbiosSmb 89EA5790 Device \Driver\usbstor \Device\00000079 8939F6C0 Device \Driver\PCI_NTPNP6530 \Device\0000004d sptd.sys AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools) Device \Driver\usbohci \Device\USBFDO-0 8A256790 Device \Driver\usbehci \Device\USBFDO-1 8A28B5E0 Device \Driver\nvata \Device\NvAta0 8A44D1E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89EB5790 Device \Driver\nvata \Device\NvAta1 8A44D1E8 Device \Driver\NetBT \Device\NetBT_Tcpip_{9E55F02A-1DD5-487C-9D08-9779006E6F16} 89EA5790 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89EB5790 Device \Driver\usbstor \Device\0000007d 8939F6C0 Device \Driver\Ftdisk \Device\FtControl 8A44E1E8 Device \Driver\usbstor \Device\0000007e 8939F6C0 Device \Driver\usbstor \Device\0000007f 8939F6C0 Device \Driver\agc89ffs \Device\Scsi\agc89ffs1 8A0E4790 Device \Driver\agc89ffs \Device\Scsi\agc89ffs1Port4Path0Target0Lun0 8A0E4790 Device \FileSystem\Cdfs \Cdfs 89FC9790 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ... ---- EOF - GMER 1.0.15 ---- |
13.04.2010, 16:05 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-download.agent Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.04.2010, 17:46 | #26 |
| Trojan-download.agent Bis jetzt nichts mehr gekommen hoffe das bleibt so. Meld mich später wenn ich mehr weiss. Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 3984 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.11 13.04.2010 18:34:47 mbam-log-2010-04-13 (18-34-47).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|) Durchsuchte Objekte: 140583 Laufzeit: 13 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
13.04.2010, 19:47 | #27 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan-download.agent Dann wars wohl nur noch das letzte Rootkit (das mit dem letzten Avenger, wo Du die i8042prt.sys beu herunterladen musstest ) Wenn nun wieder alles ok ist, bitte umgehend(!)Updates prüfen, da fehlen auf jeden Fall das SP3, der IE8 und die Folgeupdates für Dein Windows XP! Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojan-download.agent |
antivir, avg, avira, bho, browser, browser guard, dll, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, neustart, object, rundll, security, senden, software, spyware, system, temp, trojaner, usb, windows, windows xp |