Trojaner-Board - ärger mit Generic PWS.y...bzw sysaamb.dll

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ärger mit Generic PWS.y...bzw sysaamb.dll (https://www.trojaner-board.de/73582-aerger-generic-pws-y-bzw-sysaamb-dll.html)

ärger mit Generic PWS.y...bzw sysaamb.dll

Hallo zusammen,erstmal wollte ich alle mods und admins nett grüssen,bin neu und bin auf euch durch google gestossen.Sehr nice work,die ihr da leistet,weiter so.

So nun zu meinem prob,ich habe seid ca 2wochen ärger mit nem trojaner,dem ich leider net auf die schliche komme.Ich fahre mit McAfee seid jahren gut,aber irgendwie iss der trojaner trotzdem durchgeschlüpft.McAfee deletet täglich den trojaner.der generic pws.y beschreiben ist,und so alle 3-4tage findet er auch eine sysaamb.dll die laut afee verseucht sein soll und steckt ihn in quarantäne.Hab echt alles probiert,aber bin am ende meiner ideen.Bitte um hilfe,hab kein bock mein OS wieder neu aufzuspielen,ausser da iss echt nix mehr zu machen.So nun zu meinem logfile,habs gestern schonmal auf der hijackthis.de seite automatisch auswerten lassen und hab ein file gefixed,was ein search hook war und bezeichnung wohl schädlich war,laut logfile.Dachte damit hätte ichs vllt,aber leider war es net so.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:17, on 28.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
E:\WINXP\System32\smss.exe
E:\WINXP\system32\winlogon.exe
E:\WINXP\system32\services.exe
E:\WINXP\system32\lsass.exe
E:\WINXP\system32\svchost.exe
E:\WINXP\System32\svchost.exe
E:\WINXP\system32\spoolsv.exe
E:\WINXP\Explorer.EXE
E:\WINXP\RTHDCPL.EXE
E:\Programme\McAfee.com\Agent\mcagent.exe
E:\WINXP\system32\RUNDLL32.EXE
E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
E:\WINXP\system32\ctfmon.exe
F:\Proggys\Photoshop7\PhotoshopElementsFileAgent.exe
E:\Programme\FRITZ!DSL\IGDCTRL.EXE
E:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
e:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
e:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
E:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
E:\Programme\McAfee\MPF\MPFSrv.exe
F:\Proggys\Nero\Nero8\Nero BackItUp\NBService.exe
E:\WINXP\system32\nvsvc32.exe
E:\WINXP\system32\IoctlSvc.exe
E:\Programme\bin32\nSvcAppFlt.exe
E:\Programme\bin32\nSvcIp.exe
E:\WINXP\System32\svchost.exe
E:\Programme\ICQ6.5\ICQ.exe
F:\Proggys\Firefox\firefox.exe
E:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
e:\PROGRA~1\mcafee\msc\mcshell.exe
F:\Proggys\Hijaxk\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - e:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [mcagent_exe] "E:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] E:\Programme\Trust\GM-4600 Gamer Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Proggys\Adobe\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Proggys\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Ultra Flat Metal USB-Hub Keyboard.lnk = F:\Proggys\Ultra Flat Tasta\MagicKey.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: e:\winxp\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: e:\winxp\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: e:\winxp\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: e:\winxp\system32\nvlsp.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - F:\Proggys\Photoshop7\PhotoshopElementsFileAgent.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Programme\bin32\nSvcAppFlt.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - E:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - e:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - E:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - e:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - E:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - E:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - E:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - F:\Proggys\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - E:\Programme\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINXP\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - E:\WINXP\system32\IoctlSvc.exe

--
End of file - 6739 bytes

Big thx in advance.:schrei::schrei::schrei::schrei::schrei:

Hmmm keiner ne Idee???kopfsenk und auf die Mods schiel*fg*..Hüüülföööööööööööööö

Hi, du hast nicht alle Daten angeben

Hier geht es für dich weiter

Punkt 2

Anti Malware Log:
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2213
Windows 5.1.2600 Service Pack 3

02.06.2009 17:09:22
mbam-log-2009-06-02 (17-09-11).txt

Scan-Methode: Vollständiger Scan (E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 117051
Laufzeit: 12 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
g:\++proggyz++\ahead.nero.v8.3.6.0.xxxxxxx\nero.8.ultra.edition-8.3.6.0.xxxxx\xxxx\keygen.exe (Trojan.Agent) -> No action taken.

uninstall list:

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Photoshop Elements 7.0
Adobe Reader 9.1.1 - Deutsch
Amadis Video Converter Suite V3.7.3
ATI - Software Uninstall Utility
AV Voice Changer Software DIAMOND 6.0
AVM FRITZ!Box Dokumentation
Carom3D
CCleaner (remove only)
Choice Guard
CloneCD
CloneDVD2
GIMP 2.6.6
Gtk+ Runtime Environment 2.12.9-2
HijackThis 2.0.2
ICQ6.5
Malwarebytes' Anti-Malware
McAfee SecurityCenter
Microsoft .NET Framework 2.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Mozilla Firefox (3.0.10)
MSN
MSVCRT
MSXML 6.0 Parser (KB925673)
Nero 8
neroxml
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
NVIDIA ForceWare Network Access Manager
NVIDIA PhysX v8.08.18
Realtek High Definition Audio Driver
Segoe UI
Sicherheitsupdate für Windows XP (KB923789)
Sierra On-Line Games (Remove only)
Skype™ 4.0
Spybot - Search & Destroy
SUPERAntiSpyware Free Edition
SweetIM for Messenger 2.6
TeamSpeak 2 RC2
Trust GM-4600 Gamer Mouse
TuneUp Utilities 2009
Ultra Flat Metal USB-Hub Keyboard
uploaded Tool 2009 Version 1.0
VCRedistSetup
VLC media player 0.9.8a
Windows Communication Foundation
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Presentation Foundation
Windows Workflow Foundation
WinRAR archiver

Dein "generic pws.y" wird wahrscheinlich im SystemVolumeInformation-Ordner gefunden.

Wenn dem so ist, musst eigentlich nur mal die Systemwiederherstellung deaktivieren. Dann wird die Datei gelöscht. "Vorher" im Taskmanager nach unbekannten oder verdächtigen und auch unwichtigen Prozessen schauen und einfach beenden. Alles beenden, was nicht unbedingt laufen muss.
Den Rechner neu starten. (Um zu verhindern dass sich was irgendwo neu festsetzt beim herunterfahren, nehme ich in dem Fall gerne die Resettaste).
Systemwiederherstellung wieder einschalten.

Es scheint so, als würde McAfee soweit schon gute arbeit zu leisten, aber den Rest darf er nicht antasten. Im SystemVolumeInformation-Ordner (Speicherort der Systemwiederherstellung) kann er nichts erfolgreich löschen. Daher einmal deaktivieren.

Hmm danke,aber hab ich schon gemacht,alles gelöscht,war das erste,was ich getan habe.Leider kommt er trotzdem täglich wieder grml :-(.....Mittlerweille nennt er sich PWS-LegMir-PWS-LegMir.......so 10 mal nacheinander.Ich glaube mir wird nix anderes übrig bleiben,als das system neu aufzusetzen grml.Aber ich warte mal noch 2tage.Vllt hat ja noch jemand ne idee......Hope so :-)

Trotzdem danke für den tip.

Mfg SenSai

Naja aleso Thread kann geschlossen werden,da wohl keiner ne Idee hat,hab ich jetzt neu aufgesetzt und juutt.

Peace

Hallo,

es wundert mich nicht, dass keiner helfen wollte, deswegen:

Zitat:

g:\++proggyz++\ahead.nero.v8.3.6.0.xxxxxxx\nero.8. ultra.edition-8.3.6.0.xxxxx\xxxx\keygen.exe (Trojan.Agent) -> No action taken

Schau mal hier: YouTube - Effects of crack programs and keygens on your PC

Dann noch weiterführen hier:
http://www.trojaner-board.de/73675-i...t-werbung.html
http://www.trojaner-board.de/73703-u...e-browser.html
http://www.trojaner-board.de/73187-w...urz-virus.html
http://www.trojaner-board.de/72583-tr-dropper-gen.html

MfG

Hmm also krasse sache,wusste zwar das die dinger heftig sein können,aber das er teilweise so viele sachen auf einmal auspioniert und abfragt.Naja werd die finger mal von den keygens lassen,big thx nochmal.

SenSai

P.S.Noch ne Frage:Wie schutz man sich den am besten,so firewall und antivirus ++++ technich.Nen guten tip??