Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   AVG meldet immer wieder Trojaner (https://www.trojaner-board.de/53985-avg-meldet-immer-trojaner.html)

-EXIT- 15.06.2008 01:20
AVG meldet immer wieder Trojaner
 
Hallo zusammen!!
Habe seit 2 Tagen das Problem, dass mir AVG (Free Edition) bei jedem Scan einen "Trojan horse Generic10.AGHJ" meldet.

Zuerst war es eine ins35.tmp, dann eine ins65.tmp und jetzt aktuell eine ins73.tmp...zwar beseitigt er diese dateien jedes mal, sie tauchen allerdings immer wieder neu auf...

Da ich mich mit Trojanern,deren Erkennung und auch Beseitigung leider gar nicht auskenne, hoffe ich auf Hilfe aus diesem Forum.

Hab mir hier auch schon einige Tipps durchgelesen, bin mir aber zu unsicher, ob ich das alles so hinkriege bzw. ob das überhaupt auf meine Situation anwendbar ist...


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:01:03, on 15.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\EXIT\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\EXIT\DAEMON Tools Lite\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\Grisoft\AVG7\avgwb.dat
C:\Programme\Mozilla Firefox\firefox.exe
D:\EXIT\HiJackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Programme\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\EXIT\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\EXIT\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5ADEA709-DD74-4FCA-9A7C-FC730AEBF91B}: NameServer = 10.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{889F9A30-A293-40BB-8298-5FB311205D0A}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C442E7FD-9821-44E9-8F69-659F14EB88BB}: NameServer = 192.168.0.1
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 5013 bytes
Hoffe das Einfügen des Logfiles ist so gelaufen wie ihr das gerne habt...
Würde mich freuen wenn mir jemand helfen kann...

BataAlexander 15.06.2008 01:22
Führe bitte folgendes aus.

ATF - The Cleaner

- Lade ATF - The Cleaner
- Doppelklicke die ATF-CLeaner.exe um das Programm zu starten
- Unter Main, wähle alle
- Klicke den Empty selected Button
- Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Wenn Du Opera benutzt, klicke Opera und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Klicke Exit im Main Menü um das Programm zu schließen

Dann wende Malwarebytes an und poste das Log hier.

-EXIT- 15.06.2008 02:09
Hier wird man ja prompt "bedient" :)

Code:
Malwarebytes' Anti-Malware 1.17
Datenbank Version: 856

03:11:44 15.06.2008
mbam-log-6-15-2008 (03-11-44).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 89341
Scan Dauer: 34 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

BataAlexander 15.06.2008 02:24
Ab und zu :)

Schau mal unter History / Scan results nach den Scanberichten und poste den Inhalt eines, wo die Dateien gefunden wurden.

http://saved.im/mzezota2cxl0_vs/avgscan.jpg

-EXIT- 15.06.2008 02:51
Hoffe das ist das was du suchst...
Hab jetzt nur die Einträge mit "source=virus" dringelassen,sonst wärs zu lang geworden...


Code:
- <!--  01c8c6e22eb806e0
  </rec>
- <rec time="2008/04/30 10:59:11" user="SYSTEM" source="Update">
  <value>@HL_UpdateOK</value>
  <attr name="version">iavi:1414-1413;</attr>
  </rec>
- <rec time="2008/04/30 13:27:34" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">E:\Newsleecher_Downloads\alt.binaries.old.games\rld-swew\Crack\rld-sweawkg.exe</attr>
  <attr name="finding">@EID_Id_vir</attr>
  <attr name="virusname">Obfustat.IOZ</attr>
  </rec>
- <rec time="2008/04/30 13:27:59" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">E:\Newsleecher_Downloads\alt.binaries.old.games\rld-swew\Crack\rld-sweawkg.exe</attr>
  <attr name="action">@HL_ActCleaned</attr>
  </rec>
- <rec time="2008/06/11 01:45:15" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\Need_for_Speed_Hot_Pursuit_2_CD_KeyGenerator_by_ZiPit.zip.exe</attr>
  <attr name="finding">@Maskovaci_jmeno</attr>
  <attr name="virusname">.exe</attr>
- <rec time="2008/06/11 01:45:37" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">D:\EXIT\Need_for_Speed_Hot_Pursuit_2_CD_KeyGenerator_by_ZiPit.zip.exe</attr>
  <attr name="action">@HL_ActVVInserted</attr>
- <rec time="2008/06/11 01:47:49" user="EXIT" source="General">
  <value>@HL_TestStarted</value>
  <attr name="testname">@TestName_02</attr>
- <rec time="2008/06/11 01:49:35" user="EXIT" source="Virus">
  <value>@HL_ReportFind</value>
  <attr name="where">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dqnw89fk.default\Cache\C2053960d01</attr>
  <attr name="type">@EID_Id_trj</attr>
  <attr name="what">Downloader.Generic7.RLX</attr>
- <rec time="2008/06/11 01:59:42" user="EXIT" source="General">
  <value>@HL_TestEnded</value>
  <attr name="testname">@TestName_02</attr>
  <attr name="infectedfiles">1</attr>
- <rec time="2008/06/11 01:59:44" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dqnw89fk.default\Cache\C2053960d01</attr>
  <attr name="action">@HL_ActVVInserted</attr>
- <rec time="2008/06/11 02:03:03" user="EXIT" source="General">
  <value>@HL_TestStarted</value>
  <attr name="testname">@TestName_13</attr>
- <rec time="2008/06/11 02:04:27" user="EXIT" source="Virus">
  <value>@HL_ReportFind</value>
  <attr name="where">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dqnw89fk.default\Cache\F5A8978Dd01</attr>
  <attr name="type">@EID_Id_trj</attr>
  <attr name="what">SHeur.BOQT</attr>
- <rec time="2008/06/11 02:14:52" user="EXIT" source="General">
  <value>@HL_TestEnded</value>
  <attr name="testname">@TestName_13</attr>
  <attr name="infectedfiles">4</attr>
- <rec time="2008/06/11 02:14:53" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dqnw89fk.default\Cache\F5A8978Dd01</attr>
  <attr name="action">@HL_ActVVInserted</attr>
- <rec time="2008/06/11 02:15:49" user="EXIT" source="General">
  <value>@HL_TestStarted</value>
  <attr name="testname">@TestName_13</attr>
- <rec time="2008/06/11 02:18:14" user="EXIT" source="General">
  <value>@HL_TestStopped</value>
  <attr name="testname">@TestName_13</attr>
  <attr name="infectedfiles">0</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\crack.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">SHeur.BOQT</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\serial.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">Downloader.Generic7.QRQ</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\keygen.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">Downloader.Small.61.AG</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\number.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">Generic10.AINM</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\crack.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">SHeur.BOQT</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\keygen.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">Downloader.Small.61.AG</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\number.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">Generic10.AINM</attr>
- <rec time="2008/06/11 02:18:35" user="EXIT" source="Virus">
  <value>@HL_ReportFindRS</value>
  <attr name="filename">D:\EXIT\serial.exe</attr>
  <attr name="finding">@EID_Id_trj</attr>
  <attr name="virusname">Downloader.Generic7.QRQ</attr>
- <rec time="2008/06/11 02:18:50" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">D:\EXIT\crack.exe</attr>
  <attr name="action">@HL_ActCleaned</attr>
- <rec time="2008/06/11 02:18:55" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">D:\EXIT\serial.exe</attr>
  <attr name="action">@HL_ActCleaned</attr>
- <rec time="2008/06/11 02:18:58" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">D:\EXIT\keygen.exe</attr>
  <attr name="action">@HL_ActCleaned</attr>
- <rec time="2008/06/11 02:19:00" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">D:\EXIT\number.exe</attr>
  <attr name="action">@HL_ActCleaned</attr>
- <rec time="2008/06/14 08:14:20" user="EXIT" source="Virus">
  <value>@HL_ReportFind</value>
  <attr name="where">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Temp\ins3.tmp</attr>
  <attr name="type">@EID_Id_trj</attr>
  <attr name="what">Generic10.AGHJ</attr>
- <rec time="2008/06/14 08:57:34" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Temp\ins3.tmp</attr>
  <attr name="action">@HL_ActCleaned</attr>

- <rec time="2008/06/14 12:29:02" user="EXIT" source="Virus">
  <value>@HL_ReportFind</value>
  <attr name="where">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Temp\ins65.tmp</attr>
  <attr name="type">@EID_Id_trj</attr>
  <attr name="what">Generic10.AGHJ</attr>
- <rec time="2008/06/14 12:57:21" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Temp\ins65.tmp</attr>
  <attr name="action">@HL_ActCleaned</attr>
- <rec time="2008/06/15 01:46:45" user="EXIT" source="Virus">
  <value>@HL_ReportFind</value>
  <attr name="where">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Temp\ins73.tmp</attr>
  <attr name="type">@EID_Id_trj</attr>
  <attr name="what">Generic10.AGHJ</attr>
- <rec time="2008/06/15 02:23:37" user="EXIT" source="General">
  <value>@HL_TestEnded</value>
  <attr name="testname">@TestName_02</attr>
  <attr name="infectedfiles">1</attr>
- <rec time="2008/06/15 02:23:41" user="EXIT" source="Virus">
  <value>@HL_ActionTaken</value>
  <attr name="filename">C:\Dokumente und Einstellungen\EXIT\Lokale Einstellungen\Temp\ins73.tmp</attr>
  <attr name="action">@HL_ActCleaned</attr>

BataAlexander 15.06.2008 02:56
Bei den Worten Crack, Serial, Keygen hört mein Support auf.

-EXIT- 15.06.2008 03:09
Crack??Ich hab weder nen Crack noch nen Serial noch nen Keygen auf meinen Computer draufgespielt...zumindest nicht bewusst...

Avg hat das erste mal angeschlagen als ich ein paar Wallpapers gedownloadet hab...

BataAlexander 15.06.2008 09:51
Was sagen Dir diese Dateien?
Zitat:
E:\Newsleecher_Downloads\alt.binaries.old.games\rld-swew\Crack\rld-sweawkg.exe
D:\EXIT\Need_for_Speed_Hot_Pursuit_2_CD_KeyGenerator_by_ZiPit.zip.exe
D:\EXIT\serial.exe
D:\EXIT\crack.exe
D:\EXIT\keygen.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19