|
Plagegeister aller Art und deren Bekämpfung: Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dllWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.07.2010, 12:46 | #31 |
/// Malware-holic | Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll ok noch mal nach neustart avira updaten und über lokaler schutz, lokale laufwerke scannen, sollte jetzt geklappt haben |
30.07.2010, 13:14 | #32 |
| Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll Leider nein.
__________________AVIRA zeigt wieder den Rootkit Agent 119808 an. Anbei aktuelles Combofix log: Keine Veränderung!!! S2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\DRIVERS\DLPortIO.SYS [1999-01-10 3584] . Inhalt des "geplante Tasks" Ordners 2010-07-30 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-18 12:26] 2010-07-30 c:\windows\Tasks\User_Feed_Synchronization-{95EAF421-442E-4009-9916-1B70809362AE}.job - c:\windows\system32\msfeedssync.exe [2010-06-11 04:30] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.live.com/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Ivonne Hamza\AppData\Roaming\Mozilla\Firefox\Profiles\q9ub2ug1.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - eBay FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 2 FF - user.js: content.max.tokenizing.time - 2250000 FF - user.js: content.notify.interval - 750000 FF - user.js: content.switch.threshold - 750000 FF - user.js: nglayout.initialpaint.delay - 750 FF - user.js: network.http.max-connections-per-server - 4 FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-07-30 14:03 Windows 6.0.6002 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXBUCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ???????????????????????????????????????????????????????????????????????????????????????????????????? CTHelper = CTHELPER.EXE? CTxfiHlp = CTXFIHLP.EXE? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:2b,b7,2e,3d,b8,cd,7d,5e,2c,03,b4,3c,10,77,0d,02,58,17,f0,82,f8,c3,15, 70,17,01,0c,27,b7,10,dc,62,74,7f,9f,ac,6b,c3,4e,ab,ca,34,ac,45,b4,39,cc,d0,\ "??"=hex:2f,1e,ee,d6,86,e8,5c,65,8e,f9,f8,66,46,db,6f,e5 . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvvsvc.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32\nvvsvc.exe c:\windows\system32\Ati2evxx.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\windows\system32\lxbucoms.exe c:\program files\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\WUDFHost.exe c:\windows\system32\conime.exe c:\windows\RtHDVCpl.exe c:\windows\ehome\ehmsas.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\windows\servicing\TrustedInstaller.exe c:\\?\c:\windows\system32\wbem\WMIADAP.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-07-30 14:07:18 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-07-30 12:07 ComboFix2.txt 2010-07-30 10:51 ComboFix3.txt 2010-07-30 09:17 Vor Suchlauf: 11 Verzeichnis(se), 10.487.185.408 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 10.448.207.872 Bytes frei - - End Of File - - 4DD9F7832F2F1C818EBD33D3743BFFC4 |
02.08.2010, 10:48 | #33 |
| Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll Das Problem ist gelöst! Daher Kapitel schliessen.
__________________Vielen Dank! |
02.08.2010, 11:51 | #34 |
/// Malware-holic | Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll ok sorry war übers wochenende nicht da. wir haben schon noch n paar kleinigkeiten zu tun Free ESET Online Antivirus Scanner eset online scan, log posten |
03.08.2010, 11:27 | #35 |
| Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll Hallo Markus, ich hoffe, Du hast Dein Wochenende in vollen Zügen genossen. Habe den ESET SCAN mit dem Ergebnis durchgeführt, dass er keine infizierten Dateien gefunden hat. Das log war sehr kurz. Leider habe ich vergessen, den Text zu kopieren, bevor ich auf den Weiter-Button gedrückt habe. Ich müsste den Scanprozess nun noch einmal laufen lassen. (Dauert fast eine Stunde!) Denke aber, dass das - nur, um den Original Log-Text zu bekommen - nicht nötig ist. Hast Du noch weitere Vorschläge? |
Themen zu Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll |
agent, appdata, avira, bitte um hilfe, datei, entferne, entfernen, ergebnis, erhalte, gelöscht, gestern, gmer, hinzufügen, ide, interne, internet, konnte, nachricht, quarantäne, rkit, roaming, rootkit, rootkit entfernen, scan, system, verschoben |