| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ICQ *JPG.scr Trojaner AgentWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.06.2010, 12:43
| #1 |
| |  ICQ *JPG.scr Trojaner Agent Hey ihr Lieben, hab ein ähnliches Problem wie manch anderer hier. Mir wurde gestern von einem Freund über ICQ einen Link geschickt mit einer *JPG.scr Datei. Hab natürlich auch drauf geklickt und geladen. Wurde dann aber doch stutzig da *scr ja bekanntlich eine Bildshirmschoner Datei ist. Hab direkt beim Freund angefragt ob er mir was geschickt hat. Hat er natürlich nicht  Also habe die Datei nicht geöffnet oder ausgeführt. OS: Windows XP Pro Also hab Malwarebytes durchlaufen lassen wo folgendes bei rauskam: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4232 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 24.06.2010 12:55:37 mbam-log-2010-06-24 (12-55-37).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 141731 Laufzeit: 41 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\2wo922df.default\Cache\07206D33d01 (Trojan.Agent) -> No action taken. Hab die betroffene Datei dann damit gelöscht und erneut nach dem Reboot gescannt. Nun findet er nichts mehr. Hijackthis: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:40:19, on 24.06.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Razer\Copperhead\razerhid.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\COMODO\COMODO Internet Security\cfp.exe C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Steam\Steam.exe C:\Programme\Winamp\winamp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugin-container.exe D:\Downloads\HiJackThis204.exe O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{034DE4A2-565C-4128-80E0-AF1A811DA4D0}: NameServer = 213.191.74.11 213.191.92.82 O17 - HKLM\System\CS1\Services\Tcpip\..\{034DE4A2-565C-4128-80E0-AF1A811DA4D0}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5273 bytes Stinger konnte ebenfalls nichts weiter finden... Kann ich mich nun wieder entspannen oder gibt es noch etwas was was ich tun kann und oder muss? Vielen Dank schonmal für eure Hilfe Lieben Gruß erdBaertee Geändert von erdbaertee (24.06.2010 um 13:04 Uhr) |
|
24.06.2010, 13:42
| #2 |
| /// Malware-holic   | ICQ *JPG.scr Trojaner Agent hi, update auf servicepack 3 und instaliere den internet explorer 8, selbst wenn du den firefox nutzt.
__________________dein freund hat malware, der muss seinen pc untersuchen lassen. hast du den link im nachichtenverlauf? wenn ja, als persönliche nachicht an mich. auch wenn er neue links senden sollte. ich sende die dateien an antivirus hersteller damit dann alle besser geschützt sind, und einige seiten betreiber nehmen solche links auch mal offline :-) |
|
24.06.2010, 15:52
| #3 |
| | ICQ *JPG.scr Trojaner Agent Okay dank dir für deine Hilfe, meine Kumpel weiss ja schon bescheid und er wird sobald er kann formatieren. Ich werde mir dann direkt mal das Update ziehen und den Browser aktualisieren. Hätte ihn lieber gelöscht aber glaube manchmal brauch man ihn doch noch
__________________Link hab ich dir geschickt, hatte ihn zwar schon gesperrt und folglich gelöscht, habs aber "rückgängig" machen können. Falls noch was kommen sollte schick ich dir die Links. Vielen Dank nochmal |
|
24.06.2010, 15:54
| #4 |
| /// Malware-holic | ICQ *JPG.scr Trojaner Agent den ie und vor allem komponennten des ies kann man nicht löschen, da sie bestandteil von windows sind. |
|
| Themen zu ICQ *JPG.scr Trojaner Agent |
| avast, avast!, bho, browseui preloader, comodo, dateien, dll, einstellungen, explorer, firefox, gelöscht, helper, hkus\s-1-5-18, icq, jpg.scr, malwarebytes, microsoft, mozilla, plug-in, problem, programme, rundll, security, software, system, system32, trojan.agent, trojaner, windows, windows xp |
Linear-Darstellung
