| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hkey/AGprotect kommt immer wieder (Combofix-log)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.04.2010, 10:17
| #2 |
| |  Hkey/AGprotect kommt immer wieder (Combofix-log) Hallo,
__________________hatte mir den Antimalwardoctor eingefangen, ihn dann mit allem beschossen was ich hier im Forum finden konnte. Übriggeblieben ist dieser verseuchte Registrierungsschlüssel der von Mbam immer wieder gefunden wird: HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect Wie entferne ich diese Seuche vollständig?  Schreibe von einem anderen PC aus, das Ding hindert mich daran die HijackThis Log zu posten! Hier die Combofix Log ComboFix 10-04-28.04 - XXXX 29.04.2010 11:26:07.2.4 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1654 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\XXXX\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2010-03-28 bis 2010-04-29 )))))))))))))))))))))))))))))) . 2010-04-28 15:56 . 2010-04-28 15:58 -------- dc-h--w- c:\windows\ie8 2010-04-28 14:30 . 2010-04-28 15:31 -------- d-----w- c:\windows\system32\NtmsData 2010-04-28 14:23 . 2010-04-28 14:23 -------- d-----w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\Avira 2010-04-28 14:19 . 2010-03-01 08:05 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-04-28 14:19 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-04-28 14:19 . 2009-05-11 10:49 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2010-04-28 14:19 . 2009-05-11 10:49 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2010-04-28 14:19 . 2010-04-28 14:19 -------- d-----w- c:\programme\Avira 2010-04-28 14:19 . 2010-04-28 14:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2010-04-27 21:05 . 2010-04-27 21:05 212480 -c--a-w- c:\windows\system32\dllcache\ndis.sys 2010-04-27 21:04 . 2010-04-27 21:04 52224 ----a-w- c:\dokumente und einstellungen\XXXX\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll 2010-04-27 21:03 . 2010-04-27 21:03 117760 ----a-w- c:\dokumente und einstellungen\XXXXl\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2010-04-27 21:03 . 2010-04-27 21:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2010-04-27 21:03 . 2010-04-27 21:03 -------- d-----w- c:\dokumente und einstellungen\XXXXl\Anwendungsdaten\SUPERAntiSpyware.com 2010-04-27 17:54 . 2010-04-27 17:54 -------- d-----w- c:\dokumente und einstellungen\XXXl\Anwendungsdaten\Malwarebytes 2010-04-27 17:54 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-27 17:54 . 2010-04-27 17:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-27 17:54 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-27 13:10 . 2010-04-27 13:10 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-28 14:08 . 2008-01-29 12:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2010-04-28 13:09 . 2009-11-06 19:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-04-27 21:05 . 2007-10-29 12:00 212480 ----a-w- c:\windows\system32\drivers\ndis.sys 2010-04-27 20:11 . 2007-10-29 12:00 80108 ----a-w- c:\windows\system32\perfc007.dat 2010-04-27 20:11 . 2007-10-29 12:00 448800 ----a-w- c:\windows\system32\perfh007.dat 2010-04-27 14:03 . 2008-01-28 20:25 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2010-04-27 14:02 . 2008-01-28 20:25 215128 ----a-w- c:\windows\system32\PnkBstrB.exe 2010-04-03 15:59 . 2008-07-07 21:38 -------- d-----w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\Winamp 2010-03-25 13:16 . 2009-11-25 13:22 79488 ----a-w- c:\dokumente und einstellungen\XXXXl\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2010-03-19 23:13 . 2010-03-19 18:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2010-03-10 06:15 . 2007-10-29 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-02-25 06:15 . 2007-10-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-24 13:11 . 2007-10-29 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-16 19:04 . 2007-10-29 12:00 2148864 ----a-w- c:\windows\system32\ntoskrnl.exe 2010-02-16 19:04 . 2004-08-04 00:50 2027008 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-02-12 10:03 . 2010-03-21 09:59 293376 ------w- c:\windows\system32\browserchoice.exe 2010-02-12 04:33 . 2007-10-29 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll 2010-02-11 12:02 . 2007-10-29 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys 2010-02-06 16:27 . 2008-01-24 16:49 138056 ----a-w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\PnkBstrK.sys 2010-02-06 16:27 . 2008-01-24 16:49 138056 ----a-w- c:\dokumente und einstellungen\Axel\Anwendungsdaten\PnkBstrK.sys 2010-02-06 16:27 . 2008-01-28 20:25 75064 ----a-w- c:\windows\system32\PnkBstrA.exe 2010-02-06 16:27 . 2010-02-06 16:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe 2010-02-02 09:57 . 2010-02-02 09:57 10134 ----a-r- c:\dokumente und einstellungen\Axel\Anwendungsdaten\Microsoft\Installer\{89661B04-C646-4412-B6D3-5E19F02F1F37}\ARPPRODUCTICON.exe 2008-12-26 14:40 . 2008-01-21 20:18 67688 ----a-w- c:\programme\mozilla firefox\components\jar50.dll 2008-12-26 14:40 . 2008-01-21 20:18 54368 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll 2008-12-26 14:40 . 2008-01-21 20:18 34944 ----a-w- c:\programme\mozilla firefox\components\myspell.dll 2008-12-26 14:40 . 2008-01-21 20:18 46712 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll 2008-12-26 14:40 . 2008-01-21 20:18 172136 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . ------- Sigcheck ------- [-] 2010-04-27 21:05 . !HASH: COULD NOT OPEN FILE !!!!! . 212480 . . [------] . . c:\windows\system32\dllcache\ndis.sys [-] 2010-04-27 21:05 . !HASH: COULD NOT OPEN FILE !!!!! . 212480 . . [------] . . c:\windows\system32\drivers\ndis.sys [7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys [7] 2007-10-29 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys . ((((((((((((((((((((((((((((( SnapShot@2010-04-29_09.18.03 ))))))))))))))))))))))))))))))))))))))))) . + 2010-04-29 09:25 . 2010-04-29 09:25 16384 c:\windows\Temp\Perflib_Perfdata_6b4.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456] "Eraser"="c:\programme und spiele\Eraser Shredder\Eraser\Eraser.exe" [2007-12-22 916240] "RGSC"="c:\programme und spiele\GTA 4\Rockstar Games Social Club\RGSCLauncher.exe" [2008-12-15 306088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792] "WinSys2"="c:\windows\system32\winsys2.exe" [2006-04-29 208896] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-04-12 136600] "WinampAgent"="c:\programme und spiele\Winamp\winampa.exe" [2008-04-01 36352] "iTunesHelper"="c:\programme und spiele\Itunes\iTunesHelper.exe" [2009-09-08 305440] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-09-04 23:54 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] 2009-10-24 11:27 1217808 ----a-w- c:\programme und spiele\Counterstrike Source\steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NBService"=3 (0x3) "iPod Service"=3 (0x3) "Bonjour Service"=2 (0x2) "Apple Mobile Device"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme und Spiele\\Hardwareerkennungssoftware\\SiSOft Sandra\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"= "c:\\Programme und Spiele\\Hardwareerkennungssoftware\\SiSOft Sandra\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme und Spiele\\Sopcast\\adv\\SopAdver.exe"= "c:\\Programme und Spiele\\Sopcast\\SopCast.exe"= "c:\\Programme und Spiele\\PES 6\\PES6.exe"= "c:\\Programme und Spiele\\Crysis\\Crysis\\Bin32\\Crysis.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme und Spiele\\Counterstrike Source\\SteamApps\\deathsentences\\counter-strike source\\hl2.exe"= "c:\\Programme und Spiele\\GTA 4\\Rockstar Games Social Club\\RGSCLauncher.exe"= "c:\\Programme und Spiele\\GTA 4\\Grand Theft Auto IV\\LaunchGTAIV.exe"= "c:\\Programme und Spiele\\GTA 4\\Grand Theft Auto IV\\GTAIV.exe"= "c:\\Programme und Spiele\\QIP\\QIP\\qip.exe"= "c:\\Programme und Spiele\\QIP\\QIP\\QIP\\qip.exe"= "c:\\Programme und Spiele\\kayne n Lynch\\kaneandlynch.exe"= "c:\\Programme und Spiele\\Runes of Magic\\Runes of Magic\\launcher.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme und Spiele\\Itunes\\iTunes.exe"= "c:\\Programme und Spiele\\ICQ\\ICQ6.5\\ICQ.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) "AllowInboundRouterRequest"= 1 (0x1) R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:\windows\system32\drivers\ps6ah4nc.sys [18.05.2007 21:52 55160] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.04.2010 16:19 135336] S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:\windows\system32\pr2ah4nc.exe svc --> c:\windows\system32\pr2ah4nc.exe svc [?] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uDefault_Search_URL = hxxp://search.qip.ru uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://search.qip.ru/ie uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Axel\Anwendungsdaten\Mozilla\Firefox\Profiles\rbyln7nr.default\ FF - prefs.js: browser.search.selectedEngine - QIP Search FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query= FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-29 11:30 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-823518204-2000478354-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:1e,16,b2,7d,b8,82,c7,38,6d,d8,8b,a1,47,38,6a,e2,3a,b5,9f,07,26,ed,60, fe,c2,24,ef,da,30,49,f4,76,3e,05,d5,7b,79,8c,83,9d,b6,f6,75,69,f3,00,a3,2e,\ "??"=hex:69,6f,5c,46,6a,89,f9,ee,2d,48,e0,10,87,42,1e,12 [HKEY_USERS\S-1-5-21-823518204-2000478354-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:c2,73,6a,9c,f4,27,23,dd,37,23,18,9c,49,02,9a,c7,f5,3b,8b,60,35, 0b,c2,f1,45,a5,2b,88,f5,01,5b,c2,7a,1d,2d,df,8e,03,15,89,8d,76,f5,92,66,ac,\ "rkeysecu"=hex:5d,7c,7f,06,b2,19,11,4f,13,7d,87,43,75,df,0e,ea [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] @DACL=(02 0000) "Installed"="1" @="" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] @DACL=(02 0000) "NoChange"="1" "Installed"="1" @="" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] @DACL=(02 0000) "Installed"="1" @="" . Zeit der Fertigstellung: 2010-04-29 11:31:42 ComboFix-quarantined-files.txt 2010-04-29 09:31 ComboFix2.txt 2010-04-29 09:19 Vor Suchlauf: 18 Verzeichnis(se), 80.662.806.528 Bytes frei Nach Suchlauf: 19 Verzeichnis(se), 80.627.482.624 Bytes frei - - End Of File - - 1354B317305E24A48351DDA952814A48 Geändert von Petersen (29.04.2010 um 10:37 Uhr) |
| Themen zu Hkey/AGprotect kommt immer wieder (Combofix-log) |
| 7-zip, andere, anderen, audacity, avp.exe, call of duty, components, counter-strike source, crysis, eingefangen, entferne, forum, gefangen, gefunde, gen, grand theft auto, hijack, hijackthis, immer wieder, local, location, log, logfiles, machine, malewarbytes, mbam, msiinstaller, nicht angezeigt, oldtimer, optional, otl log, poste, posten, saver, seuche, shell32.dll, software, studio, troja, trojane, trojaner, verseuchte, vlc media player, vollständig, windows internet, windows internet explorer, world at war |
Baum-Darstellung