Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme

cosinus · 19.05.2011, 15:13

Zitat:

Ist das nicht n Treiber?
RDPWD= Liest sich iwie als Read Password...

Gesund oder eher ungesund?

RDPWD.sys Windows Prozess - Was ist das?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

cotty · 19.05.2011, 18:06

Okay, durchaus hohe Wahrscheinlichkeit, dass es ungesund ist.

Mach mich dann ans Combo Fix.

Ich weiß nicht in wie weit das relevant ist, aber mein Desktop hat mich darauf aufmerksam gemacht, dass ich "unbenutzte" Dateien bei ihm rumfliegen hab und bot mir an, diese mit dem Desktop Bereinigungsassistenten zu entfernen.

cotty · 19.05.2011, 18:39

Ähm, kleines Problemchen...

Haber meine AVG dicht gemacht, cofi hätte es aber lieber, wenn ich es deinstalliere...

Was nun?

(Off Topic: Ich höre Blitze über meine Boxen o.O In Form von nem Knistern.... Spooky)

cosinus · 19.05.2011, 19:04

Ja, AVG musst du deinstallieren. Es ist nicht kompatibel mit CF, eine Deaktivierung reicht da nicht aus.

cotty · 21.05.2011, 10:55

Okay, mach ich!

Tut mir leid, dass ich mich erst jetzt wieder melde. Hier hats die letzten zwei Tage in einem durch gewittert und ich hab meinen Rechner dann lieber nicht an der Steckdose.

Bräuchte ich nach Cofi noch andere Programme? Würde die dann vorab runterladen.

cosinus · 21.05.2011, 13:38

Ah ja, aber die kannst du problemlos laden wenn wir sie dann wirklich brauchen...

cotty · 24.05.2011, 15:52

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-05-23.02 - Koi 24.05.2011  16:36:26.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.247 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Koi\Desktop\cofi.exe
FW: NVIDIA Firewall *Enabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-24 bis 2011-05-24  ))))))))))))))))))))))))))))))
.
.
2011-05-17 18:55 . 2011-05-17 18:55	--------	d-----w-	C:\_OTL
2011-05-16 22:22 . 2011-05-16 22:22	--------	d-----w-	c:\dokumente und einstellungen\Koi\Anwendungsdaten\Malwarebytes
2011-05-16 22:21 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-16 22:21 . 2011-05-16 22:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-16 22:20 . 2011-05-16 22:21	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-05-16 22:20 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-16 06:41 . 2011-05-16 06:41	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2011-05-15 18:32 . 2011-05-15 18:33	--------	d-----w-	c:\dokumente und einstellungen\Koi\Anwendungsdaten\vlc
2011-05-15 18:30 . 2011-05-15 18:30	--------	d-----w-	c:\programme\VideoLAN
2011-05-01 20:16 . 2008-04-14 02:22	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2011-04-29 13:39 . 2011-04-29 13:39	--------	d-----w-	c:\programme\Windows Media Connect 2
2011-04-29 13:34 . 2011-04-29 13:37	--------	d-----w-	c:\windows\system32\drivers\UMDF
2011-04-29 13:34 . 2011-04-29 13:34	--------	d-----w-	c:\windows\system32\LogFiles
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-22 16:39 . 2010-06-15 20:14	60416	----a-w-	c:\windows\ALCFDRTM.VER
2011-03-07 05:33 . 2010-01-01 14:35	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2006-02-28 12:00	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2006-02-28 12:00	1858048	----a-w-	c:\windows\system32\win32k.sys
2007-05-27 23:50 . 2010-11-27 20:00	21692416	----a-w-	c:\programme\SimsPS.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 266240]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-02 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 77824]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Koi\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
.
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [08.01.2011 16:37 114432]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [08.01.2011 16:37 100736]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17.05.2011 00:21 38224]
S4 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys --> c:\windows\system32\DRIVERS\AVGIDSShim.Sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-24 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-08-09 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - 
FF - ProfilePath - c:\dokumente und einstellungen\Koi\Anwendungsdaten\Mozilla\Firefox\Profiles\siegrsk2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.lycos.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: AVG Safe Search: {1E73965B-8B48-48be-9C8D-68B920ABC1C4} - c:\programme\AVG\AVG10\Firefox4
FF - Ext: NASA Night Launch: nasanightlaunch@example.com - %profile%\extensions\nasanightlaunch@example.com
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-nwiz - nwiz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-24 16:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(932)
c:\windows\system32\nvappfilter.dll
.
- - - - - - - > 'explorer.exe'(3056)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-05-24  16:43:42
ComboFix-quarantined-files.txt  2011-05-24 14:43
.
Vor Suchlauf: 7 Verzeichnis(se), 33.262.231.552 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 33.533.337.600 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 04F82C3C72E9872E0DF4BC68A058F27B

--- --- ---

Habe jetzt das Problem, dass mein Browser, meine Enter-Tasten nicht akzeptiert...

Edit: Und ich hatte den IE auf einmal auf meinem Desktop...

cosinus · 24.05.2011, 17:49

Nach CF den Rechner 1x neustarten, dann sollten solche Schönheitsfehler behoben sein.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

cotty · 24.05.2011, 18:26

Beim Neuinstalliere meines AVG werd ich grad vonner Firewall gefragt, pb ich dem AVGIDSAgent - AVG Internet Security, den Zugriff erlauben soll.

Is der clean?

cosinus · 24.05.2011, 18:35

Zitat:

pb ich dem AVGIDSAgent - AVG Internet Security, den Zugriff erlauben soll.

Wieso denn AVG InternetSecurity? hab ich dir nich von einer Suite im anderen Strang abgeraten und du wolltest den kram auch nicht anfassen?

cotty · 24.05.2011, 18:37

Nee, das is die Free Version. Werd bei der Installation aber grad nach dem Viech gefragt.

Ich sag nicht a und mach b.

Soll ich dem denn den Zugriff verweigern, oder erlauben?

cosinus · 24.05.2011, 18:53

Ich hab auch nur nachgefragt weil dort InternetSecurity steht. Vllt hast dich ja verklickt oder so

Zitat:

FW: NVIDIA Firewall *Enabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

Das Teil kannst du im Grunde eh knicken. Deinstallier es und verwende die Windows-Firewall.

cotty · 24.05.2011, 18:56

Okay.

Genau die fragt mich aber grade.
Ist dieser AVG Agent denn sauber?
Voher mach ich nix andres.

Wieso denn knicken?
Taugt die nix?

cosinus · 24.05.2011, 19:00

Zitat:

Ist dieser AVG Agent denn sauber?

Ein Programm, das eine ausgehende Verbindung haben will, ist doch nicht automatisch unsauber...
Vertraust du nun AVG oder nicht?

Zitat:

Wieso denn knicken?
Taugt die nix?

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

cotty · 24.05.2011, 19:04

[QUOTE]Ein Programm, das eine ausgehende Verbindung haben will, ist doch nicht automatisch unsauber...
Vertraust du nun AVG oder nicht?[qoute]

Durch den Trojaner bin ich mir verdammt unsicher geworden.

Zitat:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst

Aaaargh!
Da fängt man sich einmal was ordentliches ein (auch wenn ich immer noch net weiß wo das Teil herkommt) und schon is man n Hallodrie :-)

19.05.2011, 19:04	#34
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard$ Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme Ja, AVG musst du deinstallieren. Es ist nicht kompatibel mit CF, eine Deaktivierung reicht da nicht aus. __________________ Logfiles bitte immer in CODE-Tags posten

21.05.2011, 13:38	#36
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard$ Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme Ah ja, aber die kannst du problemlos laden wenn wir sie dann wirklich brauchen... __________________ --> Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme

Plagegeister aller Art und deren Bekämpfung: Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme