Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.07.2010, 12:46   #31
markusg
/// Malware-holic
 
Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll - Standard

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll



ok noch mal nach neustart avira updaten und über lokaler schutz, lokale laufwerke scannen, sollte jetzt geklappt haben

Alt 30.07.2010, 13:14   #32
know2010
 
Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll - Standard

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll



Leider nein.
AVIRA zeigt wieder den Rootkit Agent 119808 an.

Anbei aktuelles Combofix log: Keine Veränderung!!!

S2 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\DRIVERS\DLPortIO.SYS [1999-01-10 3584]

.
Inhalt des "geplante Tasks" Ordners

2010-07-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-03-18 12:26]

2010-07-30 c:\windows\Tasks\User_Feed_Synchronization-{95EAF421-442E-4009-9916-1B70809362AE}.job
- c:\windows\system32\msfeedssync.exe [2010-06-11 04:30]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.live.com/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ivonne Hamza\AppData\Roaming\Mozilla\Firefox\Profiles\q9ub2ug1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - eBay
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 2
FF - user.js: content.max.tokenizing.time - 2250000
FF - user.js: content.notify.interval - 750000
FF - user.js: content.switch.threshold - 750000
FF - user.js: nglayout.initialpaint.delay - 750
FF - user.js: network.http.max-connections-per-server - 4
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-30 14:03
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXBUCATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????
CTHelper = CTHELPER.EXE?
CTxfiHlp = CTXFIHLP.EXE?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3295401177-2540573099-3295252175-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:2b,b7,2e,3d,b8,cd,7d,5e,2c,03,b4,3c,10,77,0d,02,58,17,f0,82,f8,c3,15,
70,17,01,0c,27,b7,10,dc,62,74,7f,9f,ac,6b,c3,4e,ab,ca,34,ac,45,b4,39,cc,d0,\
"??"=hex:2f,1e,ee,d6,86,e8,5c,65,8e,f9,f8,66,46,db,6f,e5
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\lxbucoms.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\servicing\TrustedInstaller.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-30 14:07:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-07-30 12:07
ComboFix2.txt 2010-07-30 10:51
ComboFix3.txt 2010-07-30 09:17

Vor Suchlauf: 11 Verzeichnis(se), 10.487.185.408 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 10.448.207.872 Bytes frei

- - End Of File - - 4DD9F7832F2F1C818EBD33D3743BFFC4
__________________


Alt 02.08.2010, 10:48   #33
know2010
 
Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll - Standard

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll



Das Problem ist gelöst! Daher Kapitel schliessen.

Vielen Dank!
__________________

Alt 02.08.2010, 11:51   #34
markusg
/// Malware-holic
 
Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll - Standard

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll



ok sorry war übers wochenende nicht da.
wir haben schon noch n paar kleinigkeiten zu tun
Free ESET Online Antivirus Scanner
eset online scan, log posten

Alt 03.08.2010, 11:27   #35
know2010
 
Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll - Standard

Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll



Hallo Markus,
ich hoffe, Du hast Dein Wochenende in vollen Zügen genossen.

Habe den ESET SCAN mit dem Ergebnis durchgeführt, dass er keine infizierten Dateien gefunden hat.

Das log war sehr kurz. Leider habe ich vergessen, den Text zu kopieren, bevor ich auf den Weiter-Button gedrückt habe. Ich müsste den Scanprozess nun noch einmal laufen lassen. (Dauert fast eine Stunde!) Denke aber, dass das - nur, um den Original Log-Text zu bekommen - nicht nötig ist.

Hast Du noch weitere Vorschläge?


Antwort

Themen zu Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll
agent, appdata, avira, bitte um hilfe, datei, entferne, entfernen, ergebnis, erhalte, gelöscht, gestern, gmer, hinzufügen, ide, interne, internet, konnte, nachricht, quarantäne, rkit, roaming, rootkit, rootkit entfernen, scan, system, verschoben




Ähnliche Themen: Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll


  1. Lästiges Ding unter users\appdata\roaming
    Log-Analyse und Auswertung - 15.03.2014 (13)
  2. Trojan.Agent.Gen in C:\Users\Sandra\AppData\Roaming\KB00012983.exe nach Öffnen einer Vodafone-Fake-Email
    Log-Analyse und Auswertung - 16.01.2014 (1)
  3. C:\Users\didi\AppData\Roaming\skype.dat
    Log-Analyse und Auswertung - 30.09.2013 (2)
  4. Online- Banking gesperrt! Trojan.FakeAlert.Gen & Trojan.ZbotR.Gen in (C:\Users\\AppData\Temp & C:\Users\\AppData\Roaming\Osje\rutaap.exe)
    Log-Analyse und Auswertung - 06.02.2013 (1)
  5. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dll (Trojan.Agent) -> Daten: C:\Users\Papa\AppData\Roaming\dll\svchost.exe -> Keine Aktio
    Log-Analyse und Auswertung - 13.01.2013 (10)
  6. RunDLL Probleme beim Starten von C:\users\***\AppData\Roaming\pndeb.dll & AppData\Local\powstak.dll
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (5)
  7. RKIT/Agent.deyz unter C:\users\XXX\appdata.. gefunden
    Log-Analyse und Auswertung - 04.10.2012 (11)
  8. Viren in C:\Users\***\AppData\Roaming\BAcroIEHelpe*.dll
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (5)
  9. TR/Rogue.kdv.673030 in C:\Users\Kitty\AppData\Roaming
    Plagegeister aller Art und deren Bekämpfung - 24.07.2012 (5)
  10. Sonderbare Ordner in C:\users\.......\appData\Roaming
    Log-Analyse und Auswertung - 05.03.2012 (9)
  11. c:\Users\Name\AppData\Roaming\acroiehelpe050.dll
    Log-Analyse und Auswertung - 05.12.2011 (15)
  12. C:\Users\***\AppData\Roaming\Netwin\busatl.exe entfernen?
    Plagegeister aller Art und deren Bekämpfung - 03.12.2011 (41)
  13. TR/Spy.Banker.iuq.3 in C:\Users\Username\AppData\Roaming\appconf32.exe
    Plagegeister aller Art und deren Bekämpfung - 06.11.2011 (11)
  14. Trojan.Gen in C:\Users\***\AppData\Roaming\default\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (7)
  15. TR/Spy.Zb.aaw.14997 in C:\Users\ICH\appdata\Roaming\...
    Plagegeister aller Art und deren Bekämpfung - 11.07.2010 (17)
  16. Users/***/Appdata/Roaming/Winlogon.exe
    Log-Analyse und Auswertung - 04.07.2010 (7)
  17. 'C:\Users\***\AppData\Roaming\install\svchost.exe'
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (6)

Zum Thema Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll - ok noch mal nach neustart avira updaten und über lokaler schutz, lokale laufwerke scannen, sollte jetzt geklappt haben - Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll...
Archiv
Du betrachtest: Entfernen von RKIT\Agent 119808 in C:\Users\***\AppData\Roaming\cttele32U.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.