Trojaner-Board - SASW-Scan findet PSGuard und Trojan.Agent/Gen-Krpytik

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - SASW-Scan findet PSGuard und Trojan.Agent/Gen-Krpytik (https://www.trojaner-board.de/102915-sasw-scan-findet-psguard-trojan-agent-gen-krpytik.html)

Ich hab´s noch einmal mit der vorherigen Version probiert...mit Erfolg:

Code:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software

Run date: 2011-09-01 23:05:19

-----------------------------

23:05:19.171    OS Version: Windows 5.1.2600 Service Pack 3

23:05:19.171    Number of processors: 1 586 0x801

23:05:19.171    ComputerName: ARBEITSZIMMER  UserName: Heini

23:05:23.578    Initialize success

23:05:58.640    AVAST engine defs: 11090101

23:06:17.562    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

23:06:17.562    Disk 0 Vendor: SAMSUNG_SP0822N WA100-10 Size: 76351MB BusType: 3

23:06:17.562    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c

23:06:17.562    Disk 1 Vendor: HDS728080PLAT20 PF2OA21B Size: 78533MB BusType: 3

23:06:17.609    Disk 0 MBR read successfully

23:06:17.609    Disk 0 MBR scan

23:06:17.687    Disk 0 Windows XP default MBR code

23:06:17.718    Disk 0 scanning sectors +156344580

23:06:17.906    Disk 0 scanning C:\WINDOWS\system32\drivers

23:07:24.609    Service scanning

23:07:26.890    Service FXDRV F:\Fxdrv.sys **LOCKED** 21

23:07:27.765    Modules scanning

23:08:03.031    Disk 0 trace - called modules:

23:08:03.062    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys siside.sys 

23:08:03.062    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89bf6560]

23:08:03.062    3 CLASSPNP.SYS[f74c7fd7] -> nt!IofCallDriver -> \Device\00000065[0x89bdcf18]

23:08:03.078    5 ACPI.sys[f743d620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x89b7fd98]

23:08:04.578    AVAST engine scan C:\WINDOWS

23:08:58.546    AVAST engine scan C:\WINDOWS\system32

23:23:51.765    AVAST engine scan C:\WINDOWS\system32\drivers

23:25:33.531    AVAST engine scan C:\Dokumente und Einstellungen\Heini

23:41:28.546    AVAST engine scan C:\Dokumente und Einstellungen\All Users

00:25:21.203    Scan finished successfully

00:50:03.687    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\All Users\Dokumente\Zwischenspeicher\Logfiles Arbeitszimmer\MBR.dat"

00:50:03.687    The log file has been saved successfully to "C:\Dokumente und Einstellungen\All Users\Dokumente\Zwischenspeicher\Logfiles Arbeitszimmer\aswMBR.txt"

Gruß
Heini

Zitat:

23:06:17.687 Disk 0 Windows XP default MBR code

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Wow, ich brauche immer Taaage bis ich diese Scans vollständig habe. Hier also die Ergebnisse:

Code:

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=c9f9c47605380d41a5ace75ef84c1b42

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-09-10 03:30:32

# local_time=2011-09-10 05:30:32 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=256 16777215 100 0 126480972 126480972 0 0

# compatibility_mode=1792 16777191 100 0 77413407 77413407 0 0

# compatibility_mode=8192 67108863 100 0 1028376 1028376 0 0

# scanned=172450

# found=4

# cleaned=0

# scan_time=38045

C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Programme\FreeCommander\fc_setup.exe        a variant of Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Programme\FreeCommander\fc_setup_.zip        a variant of Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I

E:\Jochen\Eigene Dateien Heini\Downloads\free-wma-mp3-converter.exe        probably a variant of Win32/PSW.Agent.BUPXGWL trojan (unable to clean)        00000000000000000000000000000000        I

E:\Jochen\Eigene Dateien Heini\Downloads\streamripper-windows-installer-1.63.4.exe        probably a variant of Win32/Agent.IMGROYR trojan (unable to clean)        00000000000000000000000000000000        I

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 09/02/2011 at 08:18 PM
 

Application Version : 4.55.1000
 

Core Rules Database Version : 7369

Trace Rules Database Version: 5181
 

Scan type       : Complete Scan

Total Scan Time : 03:58:50
 

Memory items scanned      : 623

Memory threats detected   : 0

Registry items scanned    : 8966

Registry threats detected : 4

File items scanned        : 47306

File threats detected     : 0
 

Trojan.PSGuard

        HKLM\Software\PSGuard.com

        HKLM\Software\PSGuard.com\PSGuard

        HKLM\Software\PSGuard.com\PSGuard\P.S.Guard

        HKLM\Software\PSGuard.com\PSGuard\P.S.Guard\License

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7638
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

04.09.2011 04:54:08

mbam-log-2011-09-04 (04-54-08).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|G:\|H:\|)

Durchsuchte Objekte: 349271

Laufzeit: 8 Stunde(n), 16 Minute(n), 40 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Was kann ich tun?

Gruß
Heini

Die Funde sind nciht weiter schlimm. ESET findet öfter in Setups was, falls diese irgendwelche Toolbars enthalten. PSGuard sollte ein Überrest sein. Einfach mit SASW entfernen.

Rechner ansonsten wieder im Lot?