Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Hkey/AGprotect kommt immer wieder (Combofix-log)

Hkey/AGprotect kommt immer wieder (Combofix-log)


Plagegeister aller Art und deren Bekämpfung: Hkey/AGprotect kommt immer wieder (Combofix-log)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.04.2010, 10:17   #1
Petersen
 
Hkey/AGprotect kommt immer wieder (Combofix-log) - Standard

Hkey/AGprotect kommt immer wieder (Combofix-log)


Hallo,


hatte mir den Antimalwardoctor eingefangen, ihn dann mit allem beschossen was ich hier im Forum finden konnte.
Übriggeblieben ist dieser verseuchte Registrierungsschlüssel der von Mbam immer wieder gefunden wird:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect

Wie entferne ich diese Seuche vollständig?
Schreibe von einem anderen PC aus, das Ding hindert mich daran die HijackThis Log zu posten!

Hier die Combofix Log


ComboFix 10-04-28.04 - XXXX 29.04.2010 11:26:07.2.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1654 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXXX\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2010-03-28 bis 2010-04-29 ))))))))))))))))))))))))))))))
.

2010-04-28 15:56 . 2010-04-28 15:58 -------- dc-h--w- c:\windows\ie8
2010-04-28 14:30 . 2010-04-28 15:31 -------- d-----w- c:\windows\system32\NtmsData
2010-04-28 14:23 . 2010-04-28 14:23 -------- d-----w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\Avira
2010-04-28 14:19 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-04-28 14:19 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-28 14:19 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-04-28 14:19 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-04-28 14:19 . 2010-04-28 14:19 -------- d-----w- c:\programme\Avira
2010-04-28 14:19 . 2010-04-28 14:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-04-27 21:05 . 2010-04-27 21:05 212480 -c--a-w- c:\windows\system32\dllcache\ndis.sys
2010-04-27 21:04 . 2010-04-27 21:04 52224 ----a-w- c:\dokumente und einstellungen\XXXX\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-04-27 21:03 . 2010-04-27 21:03 117760 ----a-w- c:\dokumente und einstellungen\XXXXl\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-04-27 21:03 . 2010-04-27 21:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-04-27 21:03 . 2010-04-27 21:03 -------- d-----w- c:\dokumente und einstellungen\XXXXl\Anwendungsdaten\SUPERAntiSpyware.com
2010-04-27 17:54 . 2010-04-27 17:54 -------- d-----w- c:\dokumente und einstellungen\XXXl\Anwendungsdaten\Malwarebytes
2010-04-27 17:54 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-27 17:54 . 2010-04-27 17:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-27 17:54 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-27 13:10 . 2010-04-27 13:10 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-28 14:08 . 2008-01-29 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-04-28 13:09 . 2009-11-06 19:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-27 21:05 . 2007-10-29 12:00 212480 ----a-w- c:\windows\system32\drivers\ndis.sys
2010-04-27 20:11 . 2007-10-29 12:00 80108 ----a-w- c:\windows\system32\perfc007.dat
2010-04-27 20:11 . 2007-10-29 12:00 448800 ----a-w- c:\windows\system32\perfh007.dat
2010-04-27 14:03 . 2008-01-28 20:25 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-04-27 14:02 . 2008-01-28 20:25 215128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-04-03 15:59 . 2008-07-07 21:38 -------- d-----w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\Winamp
2010-03-25 13:16 . 2009-11-25 13:22 79488 ----a-w- c:\dokumente und einstellungen\XXXXl\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-19 23:13 . 2010-03-19 18:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2010-03-10 06:15 . 2007-10-29 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2007-10-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2007-10-29 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2007-10-29 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2004-08-04 00:50 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-03-21 09:59 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2007-10-29 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2007-10-29 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-06 16:27 . 2008-01-24 16:49 138056 ----a-w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\PnkBstrK.sys
2010-02-06 16:27 . 2008-01-24 16:49 138056 ----a-w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\PnkBstrK.sys
2010-02-06 16:27 . 2008-01-28 20:25 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-02-06 16:27 . 2010-02-06 16:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe
2010-02-02 09:57 . 2010-02-02 09:57 10134 ----a-r- c:\dokumente und einstellungen\Axel\Anwendungsdaten\Microsoft\Installer\{89661B04-C646-4412-B6D3-5E19F02F1F37}\ARPPRODUCTICON.exe
2008-12-26 14:40 . 2008-01-21 20:18 67688 ----a-w- c:\programme\mozilla firefox\components\jar50.dll
2008-12-26 14:40 . 2008-01-21 20:18 54368 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-26 14:40 . 2008-01-21 20:18 34944 ----a-w- c:\programme\mozilla firefox\components\myspell.dll
2008-12-26 14:40 . 2008-01-21 20:18 46712 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll
2008-12-26 14:40 . 2008-01-21 20:18 172136 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2010-04-27 21:05 . !HASH: COULD NOT OPEN FILE !!!!! . 212480 . . [------] . . c:\windows\system32\dllcache\ndis.sys
[-] 2010-04-27 21:05 . !HASH: COULD NOT OPEN FILE !!!!! . 212480 . . [------] . . c:\windows\system32\drivers\ndis.sys
[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[7] 2007-10-29 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-04-29_09.18.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-29 09:25 . 2010-04-29 09:25 16384 c:\windows\Temp\Perflib_Perfdata_6b4.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]
"Eraser"="c:\programme und spiele\Eraser Shredder\Eraser\Eraser.exe" [2007-12-22 916240]
"RGSC"="c:\programme und spiele\GTA 4\Rockstar Games Social Club\RGSCLauncher.exe" [2008-12-15 306088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-04-29 208896]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-12 136600]
"WinampAgent"="c:\programme und spiele\Winamp\winampa.exe" [2008-04-01 36352]
"iTunesHelper"="c:\programme und spiele\Itunes\iTunesHelper.exe" [2009-09-08 305440]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-09-04 23:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2009-10-24 11:27 1217808 ----a-w- c:\programme und spiele\Counterstrike Source\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme und Spiele\\Hardwareerkennungssoftware\\SiSOft Sandra\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"c:\\Programme und Spiele\\Hardwareerkennungssoftware\\SiSOft Sandra\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme und Spiele\\Sopcast\\adv\\SopAdver.exe"=
"c:\\Programme und Spiele\\Sopcast\\SopCast.exe"=
"c:\\Programme und Spiele\\PES 6\\PES6.exe"=
"c:\\Programme und Spiele\\Crysis\\Crysis\\Bin32\\Crysis.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme und Spiele\\Counterstrike Source\\SteamApps\\deathsentences\\counter-strike source\\hl2.exe"=
"c:\\Programme und Spiele\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"c:\\Programme und Spiele\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"c:\\Programme und Spiele\\GTA 4\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Programme und Spiele\\QIP\\QIP\\qip.exe"=
"c:\\Programme und Spiele\\QIP\\QIP\\QIP\\qip.exe"=
"c:\\Programme und Spiele\\kayne n Lynch\\kaneandlynch.exe"=
"c:\\Programme und Spiele\\Runes of Magic\\Runes of Magic\\launcher.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme und Spiele\\Itunes\\iTunes.exe"=
"c:\\Programme und Spiele\\ICQ\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowInboundRouterRequest"= 1 (0x1)

R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [18.05.2007 21:52 55160]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.04.2010 16:19 135336]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc --> c:\windows\system32\pr2ah4nc.exe svc [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Axel\Anwendungsdaten\Mozilla\Firefox\Profiles\rbyln7nr.default\
FF - prefs.js: browser.search.selectedEngine - QIP Search
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-29 11:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-823518204-2000478354-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:1e,16,b2,7d,b8,82,c7,38,6d,d8,8b,a1,47,38,6a,e2,3a,b5,9f,07,26,ed,60,
fe,c2,24,ef,da,30,49,f4,76,3e,05,d5,7b,79,8c,83,9d,b6,f6,75,69,f3,00,a3,2e,\
"??"=hex:69,6f,5c,46,6a,89,f9,ee,2d,48,e0,10,87,42,1e,12

[HKEY_USERS\S-1-5-21-823518204-2000478354-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:c2,73,6a,9c,f4,27,23,dd,37,23,18,9c,49,02,9a,c7,f5,3b,8b,60,35,
0b,c2,f1,45,a5,2b,88,f5,01,5b,c2,7a,1d,2d,df,8e,03,15,89,8d,76,f5,92,66,ac,\
"rkeysecu"=hex:5d,7c,7f,06,b2,19,11,4f,13,7d,87,43,75,df,0e,ea

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
@DACL=(02 0000)
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
@DACL=(02 0000)
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
@DACL=(02 0000)
"Installed"="1"
@=""
.
Zeit der Fertigstellung: 2010-04-29 11:31:42
ComboFix-quarantined-files.txt 2010-04-29 09:31
ComboFix2.txt 2010-04-29 09:19

Vor Suchlauf: 18 Verzeichnis(se), 80.662.806.528 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 80.627.482.624 Bytes frei

- - End Of File - - 1354B317305E24A48351DDA952814A48
Geändert von Petersen (29.04.2010 um 10:37 Uhr)

Alt 29.04.2010, 13:49   #2
Petersen
 
Hkey/AGprotect kommt immer wieder (Combofix-log) - Standard

Hkey/AGprotect kommt immer wieder (Combofix-log)


So, irgendwie klappte es jetzt doch mit der Hijacklog:


Hijack-Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:47:20, on 29.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme und Spiele\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Axel\Desktop\Axel.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ÿþ127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme und Spiele\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme und Spiele\Winamp\winampa.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme und Spiele\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme und Spiele\Eraser Shredder\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [RGSC] C:\Programme und Spiele\GTA 4\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme und Spiele\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme und Spiele\Icq 5.1\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme und Spiele\Icq 5.1\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme und Spiele\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme und Spiele\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme und Spiele\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme und Spiele\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme und Spiele\QIP\QIP\QIP\qip.exe (HKCU)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - hxxp://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - hxxp://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200669343500
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1272401376109
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: B - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Axel\LOKALE~1\Temp\B.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme und Spiele\Hardwareerkennungssoftware\SiSOft Sandra\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme und Spiele\Hardwareerkennungssoftware\SiSOft Sandra\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

--
End of file - 9363 bytes



Mbam-Log

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4050

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.04.2010 10:22:26
mbam-log-2010-04-29 (10-22-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Durchsuchte Objekte: 185307
Laufzeit: 35 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________
Antwort

Themen zu Hkey/AGprotect kommt immer wieder (Combofix-log)
7-zip, andere, anderen, audacity, avp.exe, call of duty, components, counter-strike source, crysis, eingefangen, entferne, forum, gefangen, gefunde, gen, grand theft auto, hijack, hijackthis, immer wieder, local, location, log, logfiles, machine, malewarbytes, mbam, msiinstaller, nicht angezeigt, oldtimer, optional, otl log, poste, posten, saver, seuche, shell32.dll, software, studio, troja, trojane, trojaner, verseuchte, vlc media player, vollständig, windows internet, windows internet explorer, world at war


« monxga32 eingefangen, System erneuern aber wie? | ICQ-Virus (*.jpg.scr) »


Ähnliche Themen: Hkey/AGprotect kommt immer wieder (Combofix-log)


  1. dllhost.exe kommt immer wieder
    Log-Analyse und Auswertung - 06.09.2014 (5)
  2. CouponDropDown kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 04.05.2013 (37)
  3. Combofix händt sich immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 31.03.2013 (2)
  4. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  5. TR/ATRAPS.Gen kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  6. Stimme kommt immer wieder.
    Plagegeister aller Art und deren Bekämpfung - 28.08.2011 (1)
  7. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  8. Combofix - immer wieder Rootkit!
    Mülltonne - 13.12.2010 (1)
  9. Trojaner kommt immer wieder
    Log-Analyse und Auswertung - 05.08.2010 (19)
  10. JS.Redirector.455 kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2009 (1)
  11. JS/Redirector.455 kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 26.10.2009 (3)
  12. Altnet kommt immer wieder
    Log-Analyse und Auswertung - 28.01.2009 (0)
  13. Virus kommt immer wieder !
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (1)
  14. uEXci4uY.exe kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 11.07.2008 (22)
  15. Trojaner, kommt immer wieder...!
    Plagegeister aller Art und deren Bekämpfung - 14.01.2007 (3)
  16. Dialer kommt immer wieder...
    Log-Analyse und Auswertung - 22.02.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hkey/AGprotect kommt immer wieder (Combofix-log) - Hallo, hatte mir den Antimalwardoctor eingefangen, ihn dann mit allem beschossen was ich hier im Forum finden konnte. Übriggeblieben ist dieser verseuchte Registrierungsschlüssel der von Mbam immer wieder gefunden wird: - Hkey/AGprotect kommt immer wieder (Combofix-log)...
Archiv
Du betrachtest: Hkey/AGprotect kommt immer wieder (Combofix-log) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131