| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: JS/Agent.H beseitigenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.12.2010, 17:57
| #1 |
 |  JS/Agent.H beseitigen Bemerkte gerade mit Schrecken, dass der Beitrag ins falsche Forum gerutscht war, ich habe ihn also nochmals hier gepostet... Hallo! Ja leider muß ich Euch mal wieder (wie schon ein-zwei mal) in Anspruch nehmen. Bisher wurde mir hier ja sehr kompetent und SEHR gründlich geholfen.  Also dann mal los: Ich benutze WinXP Profesional mit allen Servicepacks und Updates, dazu IE-7 mit allen updates und bekam dann von Avira die Meldung "Malware gefunden - JS/Agent.H", was ich mit Zugriff verweigern wie angeboten OK beantwortete. Alles funktionierte zunächst normal, dann merkte ich, dass ich keine Applikationen mehr starten konnte, bereits laufende funktionierten weiter. Avira Systemscan fand nichts, Malwarebytes fand, auch nach Reboot im abgesicherten Windows Modus nichts. Nochmals normal gebootet, und alles schien wieder normal ... bis ich mein e-Banking startete und mich einloggte. Da erschien ein komischer Bildschirm mit schlechtem Deutsch auf dem ich eine TAN eingeben sollte. Bank angerufen: "Angriff auf meinen PC durch Malware, Online Banking Zugang ist hiermit gesperrt". Zum Glück hatte ich keine TAN eingegeben... Code:
ATTFilter Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Datenbank Version: 5278
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.11
09.12.2010 14:09:20
mbam-log-2010-12-09 (14-09-20).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 249028
Laufzeit: 25 Minute(n), 23 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Oder gibt's bereits eine Methode, die ich benutzen sollte? Ich habe mit der Suchfunktion nichts klares gefunden... Danke Euch schonmal ganz herzlich! Gruß, Winfried Also OTL crasht auch im abgesicherten Modus. Auf dem Web habe ich leider keine brauchbare Methode gefunden, den Plagegeist loszuwerden. Bei Microsoft habe ich was dazu gefunden und lasse gerade den Windows Defender laufen. Ob's was bringt...? Ich wäre für Hilfe dankbar! Gruß, Winfried Also nachdem ja OTL nicht ging, habe ich nochmal Avira 10 Pro losgeschickt und folgenden LOG gefunden in dem TR/Scar.dhbr in A0124159.exe und A0124075.exe gefunden und in Quarantäne geschickt wurden: Code:
ATTFilter Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Montag, 13. Dezember 2010 21:48
Es wird nach 3146341 Virenstämmen gesucht.
Das Programm läuft als voll funktionsfähige Evaluationsversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Winfried Hoffmann
Seriennummer : 2211684541-PEPWE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : NOTEBOOKC2D
Versionsinformationen:
BUILD.DAT : 10.0.0.639 35936 Bytes 30.11.2010 19:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 13.12.2010 20:46:20
AVSCAN.DLL : 10.0.3.0 56168 Bytes 02.08.2010 15:14:20
LUKE.DLL : 10.0.3.2 104296 Bytes 13.12.2010 20:46:20
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:57:42
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:47:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:47:10
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 10:10:22
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 09:34:38
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:59:55
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:42:50
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 16:53:06
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 20:32:56
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:46:03
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 20:46:07
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 20:46:07
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 20:46:07
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 20:46:07
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 20:46:07
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 20:46:07
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 20:46:08
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 20:46:08
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 20:46:08
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 20:46:09
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 20:46:09
VBASE020.VDF : 7.10.14.63 128000 Bytes 22.11.2010 20:46:09
VBASE021.VDF : 7.10.14.87 143872 Bytes 24.11.2010 20:46:09
VBASE022.VDF : 7.10.14.116 140800 Bytes 26.11.2010 20:46:10
VBASE023.VDF : 7.10.14.147 150528 Bytes 30.11.2010 20:46:10
VBASE024.VDF : 7.10.14.175 126464 Bytes 03.12.2010 20:46:10
VBASE025.VDF : 7.10.14.203 120320 Bytes 07.12.2010 20:46:11
VBASE026.VDF : 7.10.14.230 137216 Bytes 09.12.2010 20:46:11
VBASE027.VDF : 7.10.15.8 135680 Bytes 13.12.2010 20:46:11
VBASE028.VDF : 7.10.15.9 2048 Bytes 13.12.2010 20:46:11
VBASE029.VDF : 7.10.15.10 2048 Bytes 13.12.2010 20:46:11
VBASE030.VDF : 7.10.15.11 2048 Bytes 13.12.2010 20:46:11
VBASE031.VDF : 7.10.15.15 52736 Bytes 13.12.2010 20:46:11
Engineversion : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 20:28:22
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 13.12.2010 20:46:18
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 20:46:17
AESBX.DLL : 8.1.3.2 254324 Bytes 13.12.2010 20:46:18
AERDL.DLL : 8.1.9.2 635252 Bytes 13.12.2010 20:46:17
AEPACK.DLL : 8.2.4.1 512375 Bytes 13.12.2010 20:46:17
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 13.12.2010 20:46:16
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 13.12.2010 20:46:16
AEHELP.DLL : 8.1.16.0 246136 Bytes 13.12.2010 20:46:13
AEGEN.DLL : 8.1.5.0 397685 Bytes 13.12.2010 20:46:13
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 20:46:13
AECORE.DLL : 8.1.19.0 196984 Bytes 13.12.2010 20:46:12
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 11:37:30
AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:14:04
AVPREF.DLL : 10.0.0.0 44904 Bytes 02.08.2010 15:14:03
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 14:30:13
AVREG.DLL : 10.0.3.2 53096 Bytes 02.08.2010 15:14:03
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13.12.2010 20:46:20
AVARKT.DLL : 10.0.22.6 231784 Bytes 13.12.2010 20:46:19
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 02.08.2010 15:14:02
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:30:17
AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:14:04
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:30:17
RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 01.04.2010 12:57:40
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.08.2010 15:14:21
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,
Beginn des Suchlaufs: Montag, 13. Dezember 2010 21:48
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag10.00.00.01workstation
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag11.00.00.01workstation
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag12.00.00.01professional
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\explorer.exe
c:\windows\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashGet.exe' - '159' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'FJWSLauncher.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefaceusbmix.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefaceusb.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtnHnd.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickTouch.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'FUJ02E3.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayManager.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'FJSSDMN.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '171' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '469' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1367\A0124075.exe
[FUND] Ist das Trojanische Pferd TR/Scar.dgxb
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1370\A0124159.exe
[FUND] Ist das Trojanische Pferd TR/Scar.dhbr
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1370\A0124159.exe
[FUND] Ist das Trojanische Pferd TR/Scar.dhbr
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '467e3216.qua' verschoben!
C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP1367\A0124075.exe
[FUND] Ist das Trojanische Pferd TR/Scar.dgxb
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ee91db1.qua' verschoben!
Ende des Suchlaufs: Montag, 13. Dezember 2010 22:55
Benötigte Zeit: 59:14 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
7794 Verzeichnisse wurden überprüft
274070 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
274068 Dateien ohne Befall
7764 Archive wurden durchsucht
0 Warnungen
2 Hinweise
811928 Objekte wurden beim Rootkitscan durchsucht
5 Versteckte Objekte wurden gefunden
Danke für weitere Hilfe! Gruß, Winfried |
| Themen zu JS/Agent.H beseitigen |
| angriff, anti-malware, avira, bildschirm, code, dateien, deutsch, dllhost.exe, e-banking, explorer, falsche, forum, gesperrt, kompetent, malware, malware gefunden, malwarebytes, meldung, nicht starten, nt.dll, online, online banking, reboot, sched.exe, service pack 3, starten, tan, tr/scar.dhbr, updates, version, versteckte objekte, verweise, virus gefunden, windows, winxp, zugriff |
Baum-Darstellung