|
Trojanerproblem hallo ich habe ein Problem mein AVG findet einen Trojaner dieser heisst Trojan Horse Agent2.BJRA wenn ich die datei lösche ist sie bei einem neu start wieder da habe auch schon im abgesicherten modus probiert und die datei gelöscht als ich wieder im normalen modus starte ist er wieder da: wäre froh wenn mir jemand helfen könnte habe windows vista Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4692 Windows 6.0.6002 Service Pack 2 Internet Explorer 9.0.7930.16406 26.09.2010 15:19:18 mbam-log-2010-09-26 (15-19-18).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 142105 Laufzeit: 10 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
Aus den Regeln: 5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe) Fehlen diese Angaben, kann und wird dir hier niemand helfen. |
C:/windows/system32/pngtwlfj.dll sorry hatte ich übersehen |
Hast Du Malwarebytes nur 1x oder öfters durchlaufen lassen? |
ich hatte malwarebytes 3mal durchlaufenlassen und es fand nichts auch andere antivirprogramme haben nichts gefunden nur avg fand diesen trojaner |
Hast Du immer nur Quickscans gemacht? Wenn ja: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! |
habe den vollscan gemacht hier das resultat |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
habe das jetzt gemacht hier das dokument |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
habe das auch gemacht hier das resultat Combofix Logfile: Code: ComboFix 10-09-27.05 - Sascha 28.09.2010 16:25:05.1.2 - x86 |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: Folder::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
habe das jetzt gemacht hier das resultat Combofix Logfile: Code: ComboFix 10-09-27.05 - Sascha 28.09.2010 19:03:47.2.2 - x86 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt. |
hier sind die logs vom GMER und OSAM |
das file vom remover auch noch |
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
hier der inhalt MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows Vista Home Premium Edition Windows Information: Service Pack 2 (build 6002), 32-bit Base Board Manufacturer: Acer BIOS Manufacturer: Phoenix Technologies LTD System Manufacturer: Acer System Product Name: Aspire 8730 Logical Drives Mask: 0x0000001c Kernel Drivers (total 161): 0x8281E000 \SystemRoot\system32\ntkrnlpa.exe 0x82BD7000 \SystemRoot\system32\hal.dll 0x80402000 \SystemRoot\system32\kdcom.dll 0x80409000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x80479000 \SystemRoot\system32\PSHED.dll 0x8048A000 \SystemRoot\system32\BOOTVID.dll 0x80492000 \SystemRoot\system32\CLFS.SYS 0x804D3000 \SystemRoot\system32\CI.dll 0x80602000 \SystemRoot\system32\drivers\Wdf01000.sys 0x80673000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x80681000 \SystemRoot\system32\drivers\acpi.sys 0x806C7000 \SystemRoot\system32\drivers\WMILIB.SYS 0x806D0000 \SystemRoot\system32\drivers\msisadrv.sys 0x806D8000 \SystemRoot\system32\drivers\pci.sys 0x806FF000 \SystemRoot\System32\drivers\partmgr.sys 0x8070E000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x80711000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x8071B000 \SystemRoot\system32\drivers\volmgr.sys 0x8072A000 \SystemRoot\System32\drivers\volmgrx.sys 0x80774000 \SystemRoot\System32\drivers\mountmgr.sys 0x80784000 \SystemRoot\system32\drivers\atapi.sys 0x8078C000 \SystemRoot\system32\drivers\ataport.SYS 0x807AA000 \SystemRoot\system32\drivers\msahci.sys 0x807B4000 \SystemRoot\system32\drivers\PCIIDEX.SYS 0x807C2000 \SystemRoot\system32\drivers\fltmgr.sys 0x805B3000 \SystemRoot\system32\drivers\fileinfo.sys 0x82E01000 \SystemRoot\System32\Drivers\ksecdd.sys 0x82E72000 \SystemRoot\system32\drivers\ndis.sys 0x82F7D000 \SystemRoot\system32\drivers\msrpc.sys 0x82FA8000 \SystemRoot\system32\drivers\NETIO.SYS 0x8A805000 \SystemRoot\System32\drivers\tcpip.sys 0x8A8EF000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8AA06000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8AB16000 \SystemRoot\system32\drivers\volsnap.sys 0x8AB4F000 \SystemRoot\System32\Drivers\spldr.sys 0x8AB57000 \SystemRoot\System32\Drivers\mup.sys 0x8AB66000 \SystemRoot\System32\drivers\ecache.sys 0x8AB8D000 \SystemRoot\system32\drivers\disk.sys 0x8AB9E000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x8ABBF000 \SystemRoot\system32\drivers\crcdisk.sys 0x8ABEA000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x8ABF5000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x8EA00000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x8F11C000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8F1BD000 \SystemRoot\System32\drivers\watchdog.sys 0x8F1C9000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8A90A000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8F1D4000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8A948000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x805C3000 \SystemRoot\system32\DRIVERS\b57nd60x.sys 0x8E601000 \SystemRoot\system32\DRIVERS\athr.sys 0x8E6ED000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8E6F1000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8E704000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x8E70F000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x8E71A000 \SystemRoot\system32\DRIVERS\nuvotonhidgeneric.sys 0x8E725000 \SystemRoot\system32\DRIVERS\hidshim.sys 0x8E72D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x8E73D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x8E744000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8E75C000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys 0x8E764000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0x8E76D000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8E77C000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x8E7AB000 \SystemRoot\system32\DRIVERS\storport.sys 0x8E7EC000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8F1E3000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x8A9D5000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x8F202000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x8F225000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x8F234000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x8F248000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x8F25D000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8F26D000 \SystemRoot\system32\DRIVERS\swenum.sys 0x8F26F000 \SystemRoot\system32\DRIVERS\ks.sys 0x8F299000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x8F2A3000 \SystemRoot\system32\DRIVERS\umbus.sys 0x8F2B0000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x8F2E5000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0x8F2EE000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x8F2F6000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x8F402000 \SystemRoot\system32\drivers\RTKVHDA.sys 0x8F613000 \SystemRoot\system32\drivers\portcls.sys 0x8F640000 \SystemRoot\system32\drivers\drmk.sys 0x8F665000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys 0x8F6A2000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys 0x8F307000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys 0x8F7A5000 \SystemRoot\system32\drivers\modem.sys 0x8F7B2000 \SystemRoot\system32\drivers\nvhda32v.sys 0x8F7C0000 \SystemRoot\system32\DRIVERS\MpFilter.sys 0x8F7E3000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x8F7EC000 \SystemRoot\System32\Drivers\Null.SYS 0x8F7F3000 \SystemRoot\System32\Drivers\Beep.SYS 0x8F3BB000 \SystemRoot\System32\drivers\vga.sys 0x8F3C7000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8F3E8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8F3F0000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8A9E0000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8A9EB000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8E7F7000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x82FE3000 \SystemRoot\system32\DRIVERS\tdx.sys 0x807F4000 \SystemRoot\System32\Drivers\aswTdi.SYS 0x8FA05000 \SystemRoot\System32\Drivers\avgtdix.sys 0x8FA3F000 \SystemRoot\System32\DRIVERS\netbt.sys 0x8FA71000 \SystemRoot\system32\DRIVERS\smb.sys 0x8FA85000 \SystemRoot\system32\drivers\afd.sys 0x8FACD000 \SystemRoot\System32\Drivers\aswRdr.SYS 0x8FAD2000 \SystemRoot\system32\DRIVERS\pacer.sys 0x8FAE8000 \SystemRoot\system32\DRIVERS\netbios.sys 0x8FAF6000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x8FB09000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x8FB45000 \SystemRoot\system32\drivers\nsiproxy.sys 0x8FB4F000 \??\C:\Windows\system32\drivers\hid7i764.sys 0x8FBB2000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x8FBC9000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x8FBCB000 \SystemRoot\System32\Drivers\dfsc.sys 0x8FBE2000 \SystemRoot\System32\Drivers\avgmfx86.sys 0x9000D000 \SystemRoot\System32\Drivers\avgldx86.sys 0x90041000 \SystemRoot\System32\Drivers\usbvideo.sys 0x90062000 \SystemRoot\system32\drivers\RTSTOR.SYS 0x90075000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x9007E000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys 0x90085000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys 0x9008D000 \SystemRoot\System32\Drivers\aswSP.SYS 0x900B4000 \SystemRoot\System32\Drivers\fastfat.SYS 0x900DC000 \SystemRoot\System32\Drivers\crashdmp.sys 0x900E9000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x900F4000 \SystemRoot\System32\Drivers\dump_msahci.sys 0x9AC00000 \SystemRoot\System32\win32k.sys 0x900FE000 \SystemRoot\System32\drivers\Dxapi.sys 0x90108000 \SystemRoot\system32\DRIVERS\monitor.sys 0x9AE20000 \SystemRoot\System32\TSDDD.dll 0x9AE40000 \SystemRoot\System32\cdd.dll 0x90117000 \SystemRoot\system32\drivers\luafv.sys 0x90132000 \??\C:\Windows\system32\drivers\aswMonFlt.sys 0x90169000 \SystemRoot\System32\Drivers\aswFsBlk.SYS 0x81A04000 \SystemRoot\system32\drivers\spsys.sys 0x81AB4000 \SystemRoot\system32\DRIVERS\irda.sys 0x81AD2000 \SystemRoot\system32\DRIVERS\RMCAST.sys 0x81B02000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x81B12000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x81B3C000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x81B46000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x81B59000 \SystemRoot\system32\drivers\HTTP.sys 0x81BC6000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x81BE3000 \SystemRoot\system32\DRIVERS\bowser.sys 0x9016C000 \SystemRoot\System32\drivers\mpsdrv.sys 0x90181000 \SystemRoot\system32\drivers\mrxdav.sys 0x901A2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x901C1000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x8FBE8000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0xA0604000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA062B000 \SystemRoot\System32\DRIVERS\srv.sys 0xA0679000 \SystemRoot\system32\DRIVERS\MpNWMon.sys 0xA069A000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys 0xA069E000 \SystemRoot\system32\drivers\peauth.sys 0xA077C000 \SystemRoot\System32\Drivers\secdrv.SYS 0xA0786000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA0792000 \SystemRoot\system32\DRIVERS\xaudio.sys 0xA079A000 \SystemRoot\system32\DRIVERS\ipnat.sys 0x77A70000 \Windows\System32\ntdll.dll Processes (total 57): 0 System Idle Process 4 System 480 C:\Windows\System32\smss.exe 548 csrss.exe 600 C:\Windows\System32\wininit.exe 612 csrss.exe 644 C:\Windows\System32\services.exe 656 C:\Windows\System32\lsass.exe 664 C:\Windows\System32\lsm.exe 816 C:\Windows\System32\svchost.exe 880 C:\Windows\System32\nvvsvc.exe 908 C:\Windows\System32\svchost.exe 944 C:\Program Files\Microsoft Security Essentials\MsMpEng.exe 1072 C:\Windows\System32\svchost.exe 1100 C:\Windows\System32\svchost.exe 1132 C:\Windows\System32\svchost.exe 1208 C:\Windows\System32\audiodg.exe 1240 C:\Windows\System32\winlogon.exe 1264 C:\Windows\System32\svchost.exe 1288 C:\Windows\System32\SLsvc.exe 1396 C:\Windows\System32\svchost.exe 1416 C:\Windows\System32\svchost.exe 1584 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 1640 C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 1744 C:\Windows\System32\rundll32.exe 192 C:\Windows\System32\spoolsv.exe 316 C:\Windows\System32\svchost.exe 2080 C:\Windows\System32\taskeng.exe 2104 C:\Windows\System32\userinit.exe 2112 C:\Windows\System32\dwm.exe 2176 C:\Windows\explorer.exe 2504 C:\Program Files\Alwil Software\Avast5\AvastUI.exe 2524 C:\Program Files\Microsoft Security Essentials\msseces.exe 2544 C:\Program Files\AVG\AVG9\avgtray.exe 2568 C:\Program Files\AVG\AVG9\avgwdsvc.exe 2696 C:\Windows\System32\svchost.exe 2792 C:\Windows\System32\svchost.exe 2820 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 2864 C:\Windows\System32\SearchIndexer.exe 2888 C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3060 C:\Program Files\Logitech\SetPoint\SetPoint.exe 3116 C:\Windows\System32\drivers\XAudio.exe 3208 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe 3316 C:\Program Files\AVG\AVG9\avgnsx.exe 3872 C:\Program Files\Alwil Software\Avast5\Setup\avast.setup 3880 C:\Program Files\AVG\AVG9\avgrsx.exe 3888 C:\Program Files\AVG\AVG9\avgchsvx.exe 3960 C:\Program Files\AVG\AVG9\avgcsrvx.exe 2264 C:\Program Files\Windows Media Player\wmpnscfg.exe 1688 unsecapp.exe 1600 C:\Windows\System32\alg.exe 2688 C:\Program Files\Windows Media Player\wmpnetwk.exe 3148 WmiPrvSE.exe 2516 dllhost.exe 3092 dllhost.exe 1680 C:\Users\Sascha\Desktop\MBRCheck.exe 3240 C:\Windows\System32\conime.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`71100000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000026`1ab00000 (NTFS) PhysicalDrive0 Model Number: WDCWD3200BEVT-22ZCT0, Rev: 11.01A11 Size Device Name MBR Status -------------------------------------------- 298 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 1BD01CAC429595C1D0CBBF8C10C0B8BA957B5116 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: |
Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows Lad das iso runter, brenn es zB mit ImgBurn per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen. |
ich habe jetzt die cd gebrannt was bzw. wie muss ich den boot starten |
|
hallo ich bin sehr erfreut hier zu vermeld das nach dem start vom windows der trojaner nicht mehr da ist. ich möchte mich ganz herzlich bedanken für die super arbeit muss ich noch etwas beachten? habe das system 2x neugestartet und beide male war alles io habe das system auch noch gescant auch beide auffälligkeiten grüsse sascha |
Hast Du die Befehle denn wie o.g. ausgeführt? :wtf: |
ja ich habe die boot reihenfolge wieder geändert |
Das ist nicht die Antwort auf meine Frage! Ich wollte wissen ob Du die Befehle mit bootrec.exe ausgeführt hast! |
ja das habe ich gemacht und es hat alles funktioniert |
Mehr wollte ich doch garnicht wissen :crazy: warum nicht gleich so ;) Führ bitte MBRCheck nochmal aus und poste das neu Log davon. |
habe ich gemacht hier das resultat |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board