|
Win32.trojandownloader.agent problem!!! bitte helft mir..will kein neuformatieren guten tag alle zusammen, ich habe einen pc auf dem ich per ad-aware feststellen konnte, dass ich einen trojaner drauf habe, und zwar: "win32.trojandownloader.agent" jeglicher versuch ihn damit zu entfernen lief viel, adaware stürzte sogar ab. ich habs im abgesicherten modus probiert da hilfts auch nicht. jetzt hab ich mir mal mein hijackthis log file erstellt und bitte um hilfe was ich denn tun könnte. möchte nämlich nicht neuformatieren... hier mal das logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:04:20, on 11.09.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\PROGRA~1\Adaptec\DirectCD\directcd.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINNT\system32\internat.exe C:\Programme\E-Color\Colorific\hgcctl95.exe C:\Programme\A.C\Scroll-In-Mouse V2.0\Scroll.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\WINNT\system32\taskmgr.exe C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe F:\Portable\PortableApps\FirefoxPortable\App\firefox\firefox.exe C:\Programme\Webroot\Spy Sweeper\SSU.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [Synchronization Manager] "mobsync.exe" /logon O4 - HKLM\..\Run: [WinFast2KLoadDefault] "rundll32.exe" wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [E06DDXRC_1804214] "C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie\EDICT.EXE" -m O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: 3Deep.lnk = C:\Program Files\E-Color\3Deep\3Deepctl.exe O4 - Global Startup: Colorific.lnk = C:\Programme\E-Color\Colorific\hgcctl95.exe O4 - Global Startup: Scroll-In-Mouse V2.0.lnk = C:\Programme\A.C\Scroll-In-Mouse V2.0\Scroll.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134340513861 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134345325710 O17 - HKLM\System\CCS\Services\Tcpip\..\{4579999B-0CD2-469A-ADFC-0BC16DC50192}: NameServer = 192.168.0.254 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe -- End of file - 6518 bytes bin über jede hilfe dankbar...habe zudem folgendes scanner progs drauf: Antivir PE Classic Spybot - Search & Destroy Spy Sweeper vorher war kaspersky drauf aber der hat auch nur probleme gemacht.. mit freundlichen grüßen |
Hallo. Zitat:
Auch wenn man ihn nicht nutzt, aber IE6 sollte es schon für Windows 2000 sein. Zitat:
Wo wurde denn der "Agent" angeblich gefunden (Pfadangabe!) ? |
hi danke erstmal für die antwort..ist nicht mein pc sondern von nem kunden. ich scann jetzt nochmal mit adaware und poste den pfad ;) bis gleich |
hallo das find ich lustig: adaware noch spybot finden den jetzt...anscheinende ist er weg oder aber wer weiß wohin verschwunden!!! nach nem update hat antivir ne menge trojaner gelöscht...und ich habe auch IE 6 installiert gehabt ...komisch mfg |
Zitat:
Welche denn? Könntest du mal das Antivir-Log posten? |
hi cosinus sobald er gleich fertig ist mach ich das mfg |
so guter cosinus hier mal mein bericht: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 11. September 2007 15:20 Es wird nach 1057794 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows 2000 Windowsversion: (Service Pack 4) [5.0.2195] Benutzername: Störkmann Wolfgang Computername: ST-75KZQ4U12OQ0 Versionsinformationen: BUILD.DAT : 268 15604 Bytes 31.08.2007 13:01:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 11.09.2007 09:51:33 AVSCAN.DLL : 7.0.6.0 57384 Bytes 11.09.2007 09:51:32 LUKE.DLL : 7.0.5.3 147496 Bytes 11.09.2007 09:51:35 LUKERES.DLL : 7.0.6.0 10792 Bytes 11.09.2007 09:51:35 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 09:51:59 ANTIVIR2.VDF : 6.39.1.74 1637376 Bytes 02.09.2007 09:52:01 ANTIVIR3.VDF : 6.39.1.114 219648 Bytes 11.09.2007 09:52:01 AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 11.09.2007 09:52:05 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 11.09.2007 09:51:32 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 11.09.2007 09:52:05 AVREG.DLL : 7.0.1.6 30760 Bytes 11.09.2007 09:51:32 AVARKT.DLL : 1.0.0.20 278568 Bytes 11.09.2007 09:51:29 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 11.09.2007 09:51:31 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 11.09.2007 09:49:56 RCTEXT.DLL : 7.0.62.0 90152 Bytes 11.09.2007 09:49:56 SQLITE3.DLL : 3.3.17.1 339968 Bytes 11.09.2007 09:51:37 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Abweichende Gefahrenkategorien...: +JOKE, Beginn des Suchlaufs: Dienstag, 11. September 2007 15:20 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TASKMGR.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Scroll.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hgcctl95.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpgs2wnf.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'directcd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpgs2wnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SpySweeper.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '19' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinMurloff.zip [FUND] Enthält verdächtigen Code: HEUR/PwdZIP [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47549731.qua' verschoben! C:\RECYCLER\S-1-5-21-1177238915-1580818891-1060284298-1000\Dc21.exe [FUND] Ist das Trojanische Pferd TR/SpamBot.20992 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47189b12.qua' verschoben! C:\WINNT\system32\drivers\asc3550u.sys [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.MX.35 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47499e3d.qua' verschoben! Ende des Suchlaufs: Dienstag, 11. September 2007 15:53 Benötigte Zeit: 33:04 min Der Suchlauf wurde vollständig durchgeführt. 2692 Verzeichnisse wurden überprüft 71341 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 71339 Dateien ohne Befall 784 Archive wurden durchsucht 1 Warnungen 0 Hinweise allerdings bleibt meine CPU auslastung ewig und 3 tage auf 100% ....da ist so ein qttask.exe der fast alles verlangt.. hats damit was zu tun?? |
Code: C:\WINNT\system32\drivers\asc3550u.sysMach mal bitte einen Check mit Blacklight und poste das Ergebnis. |
okay mach ich ja mir wurde zu anfang von antivir auch angegeben das auf ein Rootkit nicht zugegriffen werden sollte..da hab ich zugriff verweigern angewählt.. was macht ein rootkit überhaupt? kenn den begriff seit heute^^ mfg |
so hier jetzt das ergebnis: 09/11/07 16:01:07 [Info]: BlackLight Engine 1.0.64 initialized 09/11/07 16:01:07 [Info]: OS: 5.0 build 2195 (Service Pack 4) 09/11/07 16:01:07 [Note]: 7019 4 09/11/07 16:01:07 [Note]: 7005 0 09/11/07 16:01:08 [Note]: 7006 0 09/11/07 16:01:08 [Note]: 7011 844 09/11/07 16:01:08 [Note]: 7026 0 09/11/07 16:01:08 [Note]: 7026 0 09/11/07 16:01:11 [Note]: FSRAW library version 1.7.1022 09/11/07 16:05:38 [Info]: Hidden file: c:\WINNT\system32\drivers\runtime2.sys 09/11/07 16:05:38 [Note]: 10002 1 09/11/07 16:05:39 [Info]: Hidden file: c:\WINNT\system32\drivers\SCSIPORT.SYS 09/11/07 16:05:39 [Note]: 10002 2 09/11/07 16:06:13 [Note]: 2000 1012 09/11/07 16:06:13 [Note]: 2000 1012 09/11/07 16:06:13 [Note]: 2000 1012 09/11/07 16:06:13 [Note]: 7007 0 |
Vgl. Rootkit - Wikipedia Naja, wie dem auch sei, ich würde dir hier an dieser Stelle raten, die Bereinigung sein zu lassen. Informiere den Kunden, dass es so gut wie aussichtslos ist, den Rechner wieder sicher sauber zu bekommen. Sicherheit schafft nur ein Neuaufsetzen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board