Home » Viren, Trojaner & Malware Forum » DR/Agent.BQ.2 - ich pack's einfach nicht » Themenansicht

DR/Agent.BQ.2 - ich pack's einfach nicht
#0
06.05.2005, 00:03
DominikPB
...neu hier

Beiträge: 6
#1 Hallo Ihr - ich bin da überhaupt nicht bewandert, die älteren Einträge hier helfen mir nicht....

Also: Seit ich das Ding drauf habe, lässt sich Ad-aware nicht mehr starten, genausowenig wie meine Sygate Firewall. Antivir findet zwar immer was, kann es aber nicht löschen, da gelockt.

Hijack gibt mir folgende Info:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:26, on 05.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\mfccq32.exe
C:\WINDOWS\system32\apiko32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\System32\datisock.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.358\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R3 - Default URLSearchHook is missing
F1 - win.ini: run= C:\SPIELE\WEST\INSTICON.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8955C38D-4C95-80AA-4D9C-204125ADD200} - C:\WINDOWS\crfs.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: GetPostLog module - {C9B0D3DC-DC2B-4a17-8E34-02CD4C1E573F} - C:\WINDOWS\gpl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [sdkll32.exe] C:\WINDOWS\system32\sdkll32.exe
O4 - HKLM\..\Run: [apiko32.exe] C:\WINDOWS\system32\apiko32.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd3d29af0c6206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099776705625
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe


Da ich mich mit sowas überhaupt nicht auskenne, brauche ich echt detaillierte Hilfe.... ;)

DANKE!

Ach PS: Der packt mir immer irgendwelche Sex-Seiten in die Favoriten.... ??!!
Dieser Beitrag wurde am 06.05.2005 um 00:04 Uhr von DominikPB editiert.
Seitenanfang Seitenende
06.05.2005, 00:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@DominikPB

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Workstation NetLogon Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Workstation NetLogon Service " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start-->Ausfuehren--> regedit

loesche mit rechtsklick:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ruhsw.dll/sp.html#12047
R3 - Default URLSearchHook is missing
F1 - win.ini: run= C:\SPIELE\WEST\INSTICON.EXE

O2 - BHO: (no name) - {8955C38D-4C95-80AA-4D9C-204125ADD200} - C:\WINDOWS\crfs.dll
O2 - BHO: GetPostLog module - {C9B0D3DC-DC2B-4a17-8E34-02CD4C1E573F} - C:\WINDOWS\gpl.dll
O4 - HKLM\..\Run: [sdkll32.exe] C:\WINDOWS\system32\sdkll32.exe
O4 - HKLM\..\Run: [apiko32.exe] C:\WINDOWS\system32\apiko32.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\datisock.exe
C:\WINDOWS\ruhsw.dll
C:\WINDOWS\crfs.dll
C:\WINDOWS\gpl.dll
C:\WINDOWS\system32\sdkll32.exe
C:\WINDOWS\system32\apiko32.exe
C:\WINDOWS\system32\mfccq32.exe

PC neustarten

deinstalliere den Antivirus und lade ihn neu, dann konfiguriere ihn und gehe unbedingt in den abgresicherten Modus und mache dort einen Komplettscann.
Dann gehe wieder in den Normalmodus, poste mir den Report vom Scann und das neue Log vom HijackTHis
------------------------------------------------------------

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HIjacktHis+ Report vom Scan (Antivirus)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2005, 09:40
DominikPB
...neu hier

Themenstarter

Beiträge: 6
#3 Soooo.... also, ich hab das jetzt Schritt für Schritt durchgeführt, aber es gab ein paar Probleme:

1. Bei:

Start-->Ausfuehren--> regedit

loesche mit rechtsklick:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I

...gab es kein ControlSet003 sondern nur 002 - und das ohne Unterschlüssel, ausserdem war im CurrentControlSet nichts vorhanden.

2. Im Schritt mit Hijack waren
O4 - HKLM\..\Run: [apiko32.exe] C:\WINDOWS\system32\apiko32.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe
ebenfalls nicht vorhanden

3. Nach dem Neustart ging wieder ein automatisches PopUp auf, als Desktophintergrund hab ich immer noch irgendeine automatische html-Seite...

Killbox und CCleaner hab ich grad ausgeführt, jetzt gehts weiter...
Hoffentlich klappt das, ich schreib grad meine Diplomarbeit an dem Notebook, das brauche ich! ;)

Nächste Meldung:

Habe Antivir deinstalliert und neu gezogen - die apiko32.exe wird immernoch gefunden, trotz dem Killboxprogramm. Ausserdem 2 weitere Trojaner, TR/Agent.BI und TR/Dldr.VBS.Iwi.G.1, wobei letzterer gelöscht wurde von Antivir.... (angeblich....)[/b]
Dieser Beitrag wurde am 06.05.2005 um 09:52 Uhr von DominikPB editiert.
Seitenanfang Seitenende
06.05.2005, 10:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@DominikPB

ich brauche den Report vom Antivirus +

Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten
Modus-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2005, 10:40
DominikPB
...neu hier

Themenstarter

Beiträge: 6
#5 Report von AntiVir:


Erstellungsdatum der Reportdatei: Freitag, 6. Mai 2005 09:43

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.158 (0) vom 05.05.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 167291 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 1)
Benutzername: Besitzer
Computername: DOMINIK
Prozessor: Pentium
Arbeitsspeicher: 457712 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.12 819712 05.05.2005 22:44:28
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.157 1089576 05.05.2005 22:44:30
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 02.04.2003 21:00:00
MFC42.DLL : 6.00.8665.0 995383 02.04.2003 21:00:00
MSVCRT.DLL : 7.0.2600.1106 (xpsp1.020828-1920
MSVCRT.DLL : 7.0.2600.1106 323072 02.04.2003 21:00:00
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile: /ah /bask /ns
Startmodus: Markierte Laufwerke

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Besitzer\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
C: Festplatte
D: CDRom
E: Festplatte
F: CDRom

Start des Suchlaufs: Freitag, 6. Mai 2005 09:43

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk E: OK

Laufwerk: C:
Volume ID: Seri*hier nicht!* No.: 1A42-5B6B
C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
q123.vbs
[FUND!] Ist das Trojanische Pferd TR/Dldr.VBS.Iwi.G.2
WURDE GELÖSCHT!
sm.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.VBS.Iwi.G.1
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Possibleextensionhijack.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
webHancer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
irc.jar-5c67b3b1-3da4745f.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis EIGENE~4.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦
Fehler beim Wechsel in das Verzeichnis DIPLOM~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦
Fehler beim Wechsel in das Verzeichnis INTERA~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS
javaqa.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
mfcdt32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
C:\WINDOWS\Downloaded Program Files
v3.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.XO
WURDE GELÖSCHT!
C:\WINDOWS\system32
iegg32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
javarp.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
mslv32.exe
[FUND!] Enthält Signatur des Droppers DR/Agent.BQ.2
Konnte nicht gelöscht werden!
sdkwq.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
WURDE GELÖSCHT!
sysln32.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.BI
Konnte nicht gelöscht werden!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Laufwerk: E:
Volume ID: Volume Seri*hier nicht!* No.: 3026-B2BB
E:\Programme\Nero
nero6009.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D
nve20022.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Freitag, 6. Mai 2005 10:30
Benötigte Zeit: 46:45 min


4023 Verzeichnisse wurden durchsucht
56595 Dateien wurden geprüft
9 Warnungen wurden ausgegeben
8 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Viren bzw. unerwünschte Programme wurden gefunden
Seitenanfang Seitenende
06.05.2005, 10:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@DominikPB
•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\mslv32.exe
C:\WINDOWS\System32\sysln32.exe

PC neustarten

dann scanne noch mal (im abgesicherten Modus) mit Antivirus +Report posten

Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten
Modus-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2005, 10:55
DominikPB
...neu hier

Themenstarter

Beiträge: 6
#7 Killbox sagt mir, beide Dateien scheinen nicht zu existieren....

wenn ich rkfiles.bat ausführe ist das DOS Fenster nur superkurz auf, verschwindet sofort wieder - unter Ausführen: C:\log.txt geht ein Fenster auf, in dem gar nix drin steht....

Ich lasse jetzt noch mal AntiVir durchlaufen, schätze mal der findet wieder die gelockten Dateien, denn immer wenn ich den IE aufmache, meldet der AntiVirGuard mir die.... (allerdings nicht bei Firefox)
Seitenanfang Seitenende
06.05.2005, 12:26
miez
...neu hier

Beiträge: 1
#8 anitvir findet bei mir den trojaner TR/Drop.Agent und stürzt unmittelbar danach ab.
ad-aware hilft leider auch nicht, obwohl ich das aktuelle update habe.
brüchte bitte auch detailierte hilfe!

danke im voraus

Logfile of HijackThis v1.99.1
Scan saved at 12:15:09, on 06.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\LEXBCES.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\LEXPPS.EXE
I:\Programme\AVPersonal\AVWUPSRV.EXE
I:\Agnitum\OUTPOS~1\outpost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\RunDll32.exe
I:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
I:\Programme\DU Meter\DUMeter.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\MSN Messenger\MsnMsgr.Exe
I:\Skype\Phone\Skype.exe
I:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
I:\Programme\Opera\opera.exe
I:\Dokumente und Einstellungen\Saro\Eigene Dateien\Setup Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] I:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] I:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SearchUpgrader] I:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] I:\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [wingo] I:\WINDOWS\system32\wingo.exe
O4 - HKCU\..\Run: [Skype] "I:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [winshost.exe] I:\WINDOWS\system32\winshost.exe
O4 - HKCU\..\Run: [keydrv.exe] I:\WINDOWS\system32\winsystems.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = I:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O8 - Extra context menu item: &Google Search - res://i:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://i:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://i:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://i:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - I:\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - I:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - I:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{45E549DC-BFE8-461D-910A-779C8F7EAA2B}: NameServer = 195.34.133.18,195.34.133.19
O17 - HKLM\System\CS1\Services\Tcpip\..\{45E549DC-BFE8-461D-910A-779C8F7EAA2B}: NameServer = 195.34.133.18,195.34.133.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{45E549DC-BFE8-461D-910A-779C8F7EAA2B}: NameServer = 195.34.133.18,195.34.133.19
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - I:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - I:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - I:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - I:\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - I:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
Seitenanfang Seitenende
06.05.2005, 15:41
DominikPB
...neu hier

Themenstarter

Beiträge: 6
#9 Erstellungsdatum der Reportdatei: Freitag, 6. Mai 2005 10:51

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.158 (0) vom 05.05.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 167291 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 1)
Benutzername: Besitzer
Computername: DOMINIK
Prozessor: Pentium
Arbeitsspeicher: 457712 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.12 819712 05.05.2005 22:44:28
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.157 1089576 05.05.2005 22:44:30
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 02.04.2003 21:00:00
MFC42.DLL : 6.00.8665.0 995383 02.04.2003 21:00:00
MSVCRT.DLL : 7.0.2600.1106 (xpsp1.020828-1920
MSVCRT.DLL : 7.0.2600.1106 323072 02.04.2003 21:00:00
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Besitzer\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
C: Festplatte
D: CDRom
E: Festplatte
F: CDRom

Start des Suchlaufs: Freitag, 6. Mai 2005 10:51

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk E: OK


C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
FlashTrack9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Possibleextensionhijack.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
webHancer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
irc.jar-5c67b3b1-3da4745f.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis EIGENE~4.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦
Fehler beim Wechsel in das Verzeichnis DIPLOM~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦
Fehler beim Wechsel in das Verzeichnis INTERA~1.{21EC2020-3AEA-1069-A2DD-08002B30309D}¦
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


E:\Programme\Nero
nero6009.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR: ARRAY_BOUNDS_EXCEEDED EIP = 0138984D
nve20022.exe
ArchiveType: RAR SFX (self extracting)
Interner Fehler bei Entpackroutine; ERROR:
Aktuelles AntiVir Ergebnis:

ARRAY_BOUNDS_EXCEEDED EIP = 0138984D
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Freitag, 6. Mai 2005 11:36
Benötigte Zeit: 45:03 min


4033 Verzeichnisse wurden durchsucht
56541 Dateien wurden geprüft
7 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 15:43:47, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\HPQ\One-Touch\OneTouch.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX01.060\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ercqj.dll/sp.html#12047
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A0ABA889-5C38-D4C9-B80A-84D9CC204125} - C:\WINDOWS\system32\nthk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [mslv32.exe] C:\WINDOWS\system32\mslv32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd3d29af0c6206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099776705625
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfccq32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe




--- Immernoch seltsames Hintergrundbild, ne html Seite, sobald ich online gehe und der IE startet meldet der VirenGuard 2 Trojaner...

MELDUNGEN:

C:\WINDOWS\D3FS32.EXE ist das Trojanische Pferd TR/Agent.BI

C:\WINDOWS\JAVAIM32.EXE enthält Signatur des Droppers DR/Agent.BQ.2

C:\WINDOWS\SYSHJ32.EXE enthält Signatur des Droppers DR/Agent.BQ.2

-> Killbox sagt wieder, dass diese Dateien gar nicht existieren. Ich verzweifle.

EDIT um 17:25 -> Das Notebook fährt nicht mehr hoch!!! Da ist meine Diplomarbeit drauf!!! Ich brauche jetzt ECHT Hilfe!!!

EDIT um 17:36 -> ist wieder hochgefahren. Was mach ich denn nun?
Dieser Beitrag wurde am 06.05.2005 um 17:38 Uhr von DominikPB editiert.
Seitenanfang Seitenende
07.05.2005, 23:19
MRuler
...neu hier

Beiträge: 1
#10 Hallo allerseits.

ich hab auch das püroblem mim DR/Agent.BQ.2

kenn mich leider nicht aus was zu machen ist. ich hab durchs forumlesen jetzt mitgekriegt dass HiJackThis ein nützliches Tool is. Ich poste mal meine Logdatei:

Logfile of HijackThis v1.99.1
Scan saved at 23:18:12, on 07.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
f:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\WINDOWS\system32\ctfmon.exe
f:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\svchost.exe
f:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mmc.exe
F:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\agnjd.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www6.inode.at/config/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: Class - {5647877C-ADBE-FD3B-A987-FEBDB1C44A71} - C:\WINDOWS\system32\msht32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] f:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [iTunesHelper] F:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] F:\PROGRA~1\ICQpro\ICQNet.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [iprq.exe] C:\WINDOWS\system32\iprq.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite5\ICQLite.exe -trayboot
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQpro\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQpro\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite5\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{35F0B7C0-9047-49A9-A8E7-952DC5C965DC}: NameServer = 195.58.160.194 195.58.161.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{35F0B7C0-9047-49A9-A8E7-952DC5C965DC}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ntug.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - f:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - f:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

ich hoffe irgendwer kann mir helfen, hab nämlich überhaupt keine ideen mehr.

Grüße & danke für alle Antworten,

MRuler
Seitenanfang Seitenende
08.05.2005, 11:47
DominikPB
...neu hier

Themenstarter

Beiträge: 6
#11 Tja, also da mir niemand mehr antwortet, werde ich heute abend wohl mein Notebook platt machen. Wird zwar ne üble Arbeit, aber was solls. Fang schon mal an, Daten zu sichern ^^

Dominik
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1