|
Trojaner agent.age in Windows Temp Ordner Hallo! Hab schon seit ewigkeiten Norton Antivirus installiert. Bisher nie Probleme mit Viren und Trojanern gehabt. Mein Virendefinitionsabbonements ist jedoch schon seit geraumer Zeit abgelaufen. Deswegen dachte ich mir AntiVir mal zu installen. Nach der Installation hab ich nicht schlecht gestaunt..und zwar wurde im Windows Temp Ordner die Datei Tmp1.tmp als DR/Agent.age und demnach als Trojaner identifiziert. Die erste Warnmeldung zeigt jedoch das der Trojaner im Verzeichnis unter Antivir selbst gefunden wurde also unter Eigene Dateien. Komischerweise hat mein Norton Antivirus, 1 sek. nachdem Antivir erstmals den Trojaner entdeckt hat auch eine Warnmeldung mit Backdoor.Trojan aufgezeigt. Ist es vielleicht möglich das ich mit Antivir einen Trojaner geladen habe?? Hab die Software von einem Downloadportal, ist die normale kostenlose version für privatanwender. Wenn ich Antivir nun durchlaufen lasse, erkennt er in der Datei Tmp(zahlen aufsteigend).tmp immer wieder neue infizierte Dateien. Reicht mittlerweile schon bis Tmp98.tmp. Ich schätze mal um ein Neuaufsetzen des Systems werde ich nicht drum herum kommen, oder was meint ihr?? Habe meine Festplatte in 4 Partionen aufgeteilt und auf einer separat Windows abgelegt. Können Dokumente (word/excel...) von anderen Partitonen mit viren infiziert worden sein, oder wäre dies eher unwahrscheinlich?? Würde mich sehr über eine paar tipps freuen. Danke schonmal!! |
Downloade dir http://download.hijackthis.eu/hijackthis_199.zip Entpacke es in einen eigenen Ordner und klicke auf "Hijackthis.exe". -> "Do a system scan only and safe log", danach dürfte sich bald ein Textdokument öffnen. Den Inhalt kopierst du ab und postest es hier. Dokumente können auch infiziert werden ( z.B. von Makroviren ) jedoch denke ich nicht, dass sie infiziert wurden. Wahrscheinlich musst du aber alles neu aufsetzen. Win32/Jeefo |
Hier mal das Log-File: Logfile of HijackThis v1.99.1 Scan saved at 17:54:31, on 15.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\twain_32\C6U14K\WATCH.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe C:\PROGRA~1\FIREFOX\FIREFOX.EXE E:\Programme\WinRar\WinRAR.exe C:\DOKUME~1\We\LOKALE~1\Temp\Rar$EX00.657\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\Adobe Acrobat Reader\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~3\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F6288D32-C532-414F-B1D7-8108388601FE}: NameServer = ***.***.***.*** ***.***.***.*** O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\GHOSTS~2.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Hallo. Kennst du diese Domain: O17 - HKLM\System\CCS\Services\Tcpip\..\{F6288D32-C532-414F-B1D7-8108388601FE}: NameServer = ***.***.***.*** ***.***.***.*** wenn nicht oder du dir unsicher bist, fixen! Dann zu deinem Problem. Das ist eine schwierige Sache. Dein Log sieht sauber aus, Aber das hat leider nichts zu heissen. Hilfreich waere ein logFile von deinem AntiVir um ueberhaupt zu wissen was du auf deinem System hattest/hast. -Update AniVir -stelle in den erweiterten Einstellungen die hoechste Sicherheitsstufe ein ALLE DATEIEN DURCHSUCHEN -wechsel in den abgesicherten Modus (f8 beim hochfahren) und mache dann einen vollen Systemscann. Wenn wir dabei schon unheilvolle Meldungen bekommen kannst du dir eScan und alles weitere sparen und neu auf setzen. Mfg Undoreal |
Bin mal meine Protokollanzeige von Norton Antivirus durchgegangen! 06.10.06 Quelle: Foto-Bild-06__JPG.com Beschreibung: Der E-Mail-Anhang Foto-Bild-06__JPG.com ist mit dem Virus Backdoor.Trojan infiziert. Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan AUTOMATISCH GELÖSCHT! 13.02.07 Quelle: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20070213-223206-F8F2DA69\AVSCAN-20070213-224549-A87A8A8F.AV$ Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan AUTOMATISCH GELÖSCHT! 13.02.07 Quelle: C:\WINDOWS\Temp\tmp4C.tmp Klicken Sie hier, um weitere Informationen über diese Bedrohung zu erhalten: Backdoor.Trojan REPARATUR FEHLGESCHLAGEN! Was mich ein wenig verwundert ist, dass der Virus/Trojaner im Dokumente und Einstellungen Ordner von Antivir gefunden wurde und auch erst nachdem ich antivir installiert habe es von norton antivirus erkannt wurde..….?? |
Es wurde da eine längere Domain/IP oder was auch immer angegeben..hab sie nur unerkenntlich gemacht, könnte dies vielleicht weiterhelfen, wenn ich sie hier poste?? kenn mich da ja nun nicht so wirklich aus... hab jedenfalls mal nach tcpip gesucht..stammt vom servicepackfile bzw. system32\drivers, letzter zugriff/geändert 2004. Zitat:
|
Hier mal der Scan von Antivir. AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 15. Februar 2007 21:02 Es wird nach 672524 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: We Computername: W Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.5 208936 Bytes 15.02.2007 19:51:06 AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37 LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43 LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44 ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 19:51:07 ANTIVIR2.VDF : 6.37.1.85 598016 Bytes 14.02.2007 19:51:07 ANTIVIR3.VDF : 6.37.1.99 20480 Bytes 15.02.2007 19:51:07 AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 15.02.2007 19:51:08 AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47 AVREP.DLL : 6.37.1.1 1105960 Bytes 15.02.2007 19:51:08 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10 AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31 AVREG.DLL : 7.0.1.2 30760 Bytes 15.02.2007 19:51:06 NETNT.DLL : Keine Information! RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22 RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Manuelle Auswahl Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Donnerstag, 15. Februar 2007 21:02 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 11 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Norton AntiVirus\Quarantine\286F0180.av$ [FUND] Ist das Trojanische Pferd TR/Drop.Agent.age [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460abebe.qua' verschoben! C:\Programme\Norton AntiVirus\Quarantine\28722B7C.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Agent.age [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460bbec1.qua' verschoben! C:\Programme\Norton AntiVirus\Quarantine\6A4F6C13 [FUND] Ist das Trojanische Pferd TR/Drop.Agent.age [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4608bece.qua' verschoben! C:\Programme\Norton AntiVirus\Quarantine\78E80183.tmp [FUND] Ist das Trojanische Pferd TR/Drop.Agent.age [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4619bec9.qua' verschoben! Ende des Suchlaufs: Donnerstag, 15. Februar 2007 21:29 Benötigte Zeit: 27:10 min Der Suchlauf wurde vollständig durchgeführt. 2245 Verzeichnisse wurden überprüft 101050 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 101046 Dateien ohne Befall 741 Archive wurden durchsucht 1 Warnungen 1 Hinweise |
Hallo, das hier genügt schon.... Zitat:
Noch ein Wort am Rande... Wenn du das öffnen von Mailanhängen nicht bleiben läßt,schlage ich vor du tauscht deine Kiste gegen eine Playstation.Da schickt dir nämlich niemand verseuchte Mailanhänge,die du dann dämlicherweise öffnen kannst...:pfui: Ist das zu dir noch nicht durchgedrungen,das Mailanhänge aus unbekannter Quelle immer "bäh" sind und niemals geöffnet werden dürfen ?:kloppen: Irrlicht |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board