Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan-download.agent

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.04.2010, 07:33   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-download.agent - Standard

Trojan-download.agent



Naja, ich wollte damit ausdrücken, dass ich ich kein Hellseher bin und Du schon beschreiben solltest, was für Popups Du da genau meinst bzw welche gefunden wurden.


So, da Du die Funde nachgreicht hast:


1.) Lade Dir von hier Avenger:
http://swandog46.geekstogo.com/avenger2/avenger2.html (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\WINDOWS\TEMP\0.40043518471053785.EXE

folders to delete:
C:\Windows\Temp\DVIG.TMP
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken
__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (13.04.2010 um 07:40 Uhr)

Alt 13.04.2010, 12:18   #17
Sofiane
 
Trojan-download.agent - Standard

Trojan-download.agent



Da hatte ich deine Fähigkeiten wohl etwas überschätzt


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\TEMP\0.40043518471053785.EXE" not found!
Deletion of file "C:\WINDOWS\TEMP\0.40043518471053785.EXE" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Windows\Temp\DVIG.TMP" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


hxxp://www.file-upload.net/download-2431824/backup-13.04.2010-13.12.36-26.zip.html
__________________


Alt 13.04.2010, 12:25   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-download.agent - Standard

Trojan-download.agent



War da keine andere backup.zip? Das was Du hochgeladen hast war die alte aus dem ersten Durchgang...
__________________
__________________

Alt 13.04.2010, 13:01   #19
Sofiane
 
Trojan-download.agent - Standard

Trojan-download.agent



Noch immer kommen dies Popups Spyware doctor findet auch Infizierungen. Leider weiss ich nicht, wie ich mit Spyware Doctor logs erstellen kann bzw. posten kann.

Malwarebytes und SUPERAntiSpyware zeigen aber beide 0 Infizierungen an

Evtl. kann ja das helfen:

13.04.2010 13:25:18:203
Scan gestartet
Scan-Art - Vollständiger Scan
13.04.2010 13:25:20:171
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - ad.adition.net/ ad.adition.net
13.04.2010 13:25:20:328
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - adtech.de/ adtech.de
13.04.2010 13:25:20:343
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - apmebf.com/ apmebf.com
13.04.2010 13:25:20:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - de.sitestat.com/ de.sitestat.com
13.04.2010 13:25:20:484
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - de.sitestat.com/ de.sitestat.com
13.04.2010 13:25:21:281
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - ivwbox.de/ ivwbox.de
13.04.2010 13:25:21:343
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - mediaplex.com/ mediaplex.com
13.04.2010 13:25:22:78
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - www.superantispyware.com/ www.superantispyware.com

hxxp://www.file-upload.net/download-2431925/backup.zip.html

Alt 13.04.2010, 13:13   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-download.agent - Standard

Trojan-download.agent



Dann erstell mal ein Log mit GMER und poste es, da könnte noch ein Rootkit aktiv sein.

Zitat:
13.04.2010 13:25:18:203
Scan gestartet
Scan-Art - Vollständiger Scan
13.04.2010 13:25:20:171
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Application.TrackingCookies
Typ - Cookie
...
...
Sind das die einzigen Funde von SpywareDoctor? Wenn ja, das sind nur Cookies und KEINE Popups.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.04.2010, 13:49   #21
Sofiane
 
Trojan-download.agent - Standard

Trojan-download.agent



Ach ja, das sind die einzigen Funden von Spyware Doctor, die kamen nach dem der Explorer auf ging und so eine "Antivirus page" geladen hatte. Leider war ich nicht schnell genug in der Lage diese zu schliessen

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-13 14:46:19
Windows 5.1.2600 Service Pack 2
Running: l52u5l8j.exe; Driver: C:\DOKUME~1\PC10\LOKALE~1\Temp\fgtdapog.sys


---- System - GMER 1.0.15 ----

SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xB9DB3AC2]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xB9DC9EEE]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xB9DCA0E0]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xB9DB3CB6]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xB9DB3D5C]
SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xB9DB39B2]
SSDT sptd.sys ZwQueryKey [0xB9EC4418]
SSDT sptd.sys ZwQueryValueKey [0xB9EC4298]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xB9DEAD72]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xB9DB3EF8]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA91E6320]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B8A0962C 5 Bytes JMP 8A2261C8
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7F5C360, 0x3535DF, 0xE8000020]
? System32\Drivers\a1iwi8jo.SYS Das System kann den angegebenen Pfad nicht finden. !
.rsrc C:\WINDOWS\system32\DRIVERS\i8042prt.sys entry point in ".rsrc" section [0xAC338294]
init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xAB6D52E0]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA8C56300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBA390300, 0x1B7E, 0xE8000020]
pnidata C:\WINDOWS\system32\DRIVERS\secdrv.sys unknown last section [0xA8B8FF00, 0x24000, 0x48000000]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0097000A
.text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0098000A
.text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 3 Bytes JMP 0096000C
.text C:\WINDOWS\System32\svchost.exe[1140] ntdll.dll!KiUserExceptionDispatcher + 4 7C91EAF0 1 Byte [84]
.text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00B5000A
.text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00C3000A
.text C:\WINDOWS\Explorer.EXE[1828] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00B4000C
.text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0052000A
.text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0053000A
.text C:\WINDOWS\system32\wuauclt.exe[2800] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 0051000C

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9ED429A] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00802EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00802C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00802C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[3200] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00802C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A44C1E8

AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\usbohci \Device\USBPDO-0 8A228790
Device \Driver\usbehci \Device\USBPDO-1 8A231790

AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A44E1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A44E1E8
Device \Driver\Cdrom \Device\CdRom0 8A1741E8
Device \Driver\Cdrom \Device\CdRom1 8A1741E8
Device \Driver\atapi \Device\Ide\IdePort0 8A4C01E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A4C01E8
Device \Driver\atapi \Device\Ide\IdePort1 8A4C01E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A4C01E8
Device \Driver\Cdrom \Device\CdRom2 8A1741E8
Device \Driver\usbstor \Device\00000080 89FD5790
Device \Driver\NetBT \Device\NetBt_Wins_Export 89F37790
Device \Driver\NetBT \Device\NetbiosSmb 89F37790
Device \Driver\usbstor \Device\00000079 89FD5790
Device \Driver\PCI_NTPNP5970 \Device\0000004d sptd.sys

AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\usbohci \Device\USBFDO-0 8A228790
Device \Driver\usbehci \Device\USBFDO-1 8A231790
Device \Driver\nvata \Device\NvAta0 8A44D1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F9C790
Device \Driver\nvata \Device\NvAta1 8A44D1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9E55F02A-1DD5-487C-9D08-9779006E6F16} 89F37790
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F9C790
Device \Driver\usbstor \Device\0000007d 89FD5790
Device \Driver\Ftdisk \Device\FtControl 8A44E1E8
Device \Driver\usbstor \Device\0000007e 89FD5790
Device \Driver\usbstor \Device\0000007f 89FD5790
Device \Driver\a1iwi8jo \Device\Scsi\a1iwi8jo1 8A0CF1E8
Device \Driver\a1iwi8jo \Device\Scsi\a1iwi8jo1Port4Path0Target0Lun0 8A0CF1E8
Device \FileSystem\Cdfs \Cdfs 89F85790
Device -> \Driver\nvata \Device\Harddisk0\DR0 892FAAC8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\DRIVERS\i8042prt.sys suspicious modification
File C:\WINDOWS\system32\drivers\nvata.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Geändert von Sofiane (13.04.2010 um 13:54 Uhr)

Alt 13.04.2010, 14:22   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-download.agent - Standard

Trojan-download.agent



Lad Dir diese saubere Datei bitte mal direkt auf C: herunter => File-Upload.net - i8042prt.sys


Danach Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to move:
c:\i8042prt.sys | c:\windows\system32\drivers\i8042prt.sys
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Neues Log mit GMER erstellen und posten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.04.2010, 14:32   #23
Sofiane
 
Trojan-download.agent - Standard

Trojan-download.agent



Ok nr.1 fertig nr.2 folgt gleich


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\i8042prt.sys|c:\windows\system32\drivers\i8042prt.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 13.04.2010, 15:53   #24
Sofiane
 
Trojan-download.agent - Standard

Trojan-download.agent



Das Nr.2. Leider konnte ich den Beitrag zuvor nicht mehr bearbeiten. Tut mir leid wegen dem doppelpost.

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-13 16:31:01
Windows 5.1.2600 Service Pack 2
Running: l52u5l8j.exe; Driver: C:\DOKUME~1\PC10\LOKALE~1\Temp\fgtdapog.sys


---- System - GMER 1.0.15 ----

SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwCreateKey [0xB9DB3AC2]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xB9DC9EEE]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xB9DCA0E0]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteKey [0xB9DB3CB6]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwDeleteValueKey [0xB9DB3D5C]
SSDT sptd.sys ZwEnumerateKey [0xB9EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB9EC4340]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwOpenKey [0xB9DB39B2]
SSDT sptd.sys ZwQueryKey [0xB9EC4418]
SSDT sptd.sys ZwQueryValueKey [0xB9EC4298]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xB9DEAD72]
SSDT TfSysMon.sys (ThreatFire System Monitor/PC Tools) ZwSetValueKey [0xB9DB3EF8]
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAB0E6320]

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B86F562C 5 Bytes JMP 8A28D1C8
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7C48360, 0x3535DF, 0xE8000020]
? System32\Drivers\agc89ffs.SYS Das System kann den angegebenen Pfad nicht finden. !
init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xA7BAD2E0]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA58D3300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB476F300, 0x1B7E, 0xE8000020]
pnidata C:\WINDOWS\system32\DRIVERS\secdrv.sys unknown last section [0xA580CF00, 0x24000, 0x48000000]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EBF61E] sptd.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01B42EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01B42C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01B42C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[1860] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01B42C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003A2EC0] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003A2C30] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003A2C90] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Dokumente und Einstellungen\PC10\Desktop\l52u5l8j.exe[2536] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003A2C60] C:\Programme\Gemeinsame Dateien\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A44C1E8

AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\usbohci \Device\USBPDO-0 8A256790
Device \Driver\usbehci \Device\USBPDO-1 8A28B5E0

AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A44E1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A44E1E8
Device \Driver\Cdrom \Device\CdRom0 8A1861E8
Device \Driver\nvata \Device\00000072 8A44D1E8
Device \Driver\Cdrom \Device\CdRom1 8A1861E8
Device \Driver\atapi \Device\Ide\IdePort0 8A4C01E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A4C01E8
Device \Driver\atapi \Device\Ide\IdePort1 8A4C01E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A4C01E8
Device \Driver\Cdrom \Device\CdRom2 8A1861E8
Device \Driver\usbstor \Device\00000080 8939F6C0
Device \Driver\NetBT \Device\NetBt_Wins_Export 89EA5790
Device \Driver\NetBT \Device\NetbiosSmb 89EA5790
Device \Driver\usbstor \Device\00000079 8939F6C0
Device \Driver\PCI_NTPNP6530 \Device\0000004d sptd.sys

AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

Device \Driver\usbohci \Device\USBFDO-0 8A256790
Device \Driver\usbehci \Device\USBFDO-1 8A28B5E0
Device \Driver\nvata \Device\NvAta0 8A44D1E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89EB5790
Device \Driver\nvata \Device\NvAta1 8A44D1E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9E55F02A-1DD5-487C-9D08-9779006E6F16} 89EA5790
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89EB5790
Device \Driver\usbstor \Device\0000007d 8939F6C0
Device \Driver\Ftdisk \Device\FtControl 8A44E1E8
Device \Driver\usbstor \Device\0000007e 8939F6C0
Device \Driver\usbstor \Device\0000007f 8939F6C0
Device \Driver\agc89ffs \Device\Scsi\agc89ffs1 8A0E4790
Device \Driver\agc89ffs \Device\Scsi\agc89ffs1Port4Path0Target0Lun0 8A0E4790
Device \FileSystem\Cdfs \Cdfs 89FC9790

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF1 0x7A 0x63 0x49 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xC7 0x6B 0x07 0xB4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x48 0xC5 0x1F 0xA2 ...

---- EOF - GMER 1.0.15 ----

Alt 13.04.2010, 16:05   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-download.agent - Standard

Trojan-download.agent



Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.04.2010, 17:46   #26
Sofiane
 
Trojan-download.agent - Standard

Trojan-download.agent



Bis jetzt nichts mehr gekommen hoffe das bleibt so. Meld mich später wenn ich mehr weiss.



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3984

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

13.04.2010 18:34:47
mbam-log-2010-04-13 (18-34-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 140583
Laufzeit: 13 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 13.04.2010, 19:47   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-download.agent - Standard

Trojan-download.agent



Dann wars wohl nur noch das letzte Rootkit (das mit dem letzten Avenger, wo Du die i8042prt.sys beu herunterladen musstest )

Wenn nun wieder alles ok ist, bitte umgehend(!)Updates prüfen, da fehlen auf jeden Fall das SP3, der IE8 und die Folgeupdates für Dein Windows XP!

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Trojan-download.agent
antivir, avg, avira, bho, browser, browser guard, dll, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, neustart, object, rundll, security, senden, software, spyware, system, temp, trojaner, usb, windows, windows xp




Ähnliche Themen: Trojan-download.agent


  1. trojan.agent/Gen-frauder und trojan.agent/Gen-Reputation gefunden
    Log-Analyse und Auswertung - 02.11.2013 (10)
  2. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  3. Trojan.Ransom.ED, Trojan.Agent.ED, Trojan.FakeMS.PRGen und Bublik b. durch Email erhalten?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (29)
  4. Win.Trojan.Agent-228583, Win.Trojan.Expiro-1161 und Win.Trojan.Agent-232649
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (8)
  5. Trojan.Fakesmoke, Trojan.Agent-128337, Trojan.Agent-128287 bei Desinfect 2012 (Clam AV)
    Log-Analyse und Auswertung - 06.02.2013 (17)
  6. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  7. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  8. Wohl mehrere Viren: Rootkit.0Access Trojan.Zaccess Trojan.RansomP.Gen Trojan.Agent bzw. TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (13)
  9. Trojan.Agent/Gen-Downloader in C:\PROGRAMDATA\NVIDIA\UPDATUS\DOWNLOAD\24479DC7\UPDATUS.10032098_RUNASUSER.EXE und C:\PROGRAMDATA\NVIDIA\UPDA
    Log-Analyse und Auswertung - 14.09.2012 (10)
  10. Trojan.Apppatch,Trojan.Agent.BVXGen und Trojan.Midhos in C:\Users\inet-kid\AppData,TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.09.2012 (35)
  11. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  12. EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (5)
  13. Trojan.Agent, Trojan.FakeAltert, Trojan.Hiloti.Gen gefunden und gelöscht,aber wirklich weg?
    Log-Analyse und Auswertung - 27.04.2011 (11)
  14. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  15. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  16. Trojan-Download.Win32.Agent variant
    Log-Analyse und Auswertung - 17.11.2008 (3)
  17. Trojan-Download.Win32.Agent variant
    Log-Analyse und Auswertung - 15.07.2007 (1)

Zum Thema Trojan-download.agent - Naja, ich wollte damit ausdrücken, dass ich ich kein Hellseher bin und Du schon beschreiben solltest, was für Popups Du da genau meinst bzw welche gefunden wurden. So, da Du - Trojan-download.agent...
Archiv
Du betrachtest: Trojan-download.agent auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.