Trojaner TR/Dldr.Agent.uj.1 läßt sich nicht löschen

#0
15.04.2006, 09:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#46 erstelle noch mal eine reg-datei (gebe den Namen dat.reg)

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Trayz"=-
"br0ken"=-
"NSYSCPLSTR"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Upgrade Service"=-
"Upgrade Sarvice"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{4D855DFC-2DB5-43F0-814A-257F4C074CF1}"=-
"{7576af59-76ba-46fc-9876-624f1814d885}"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
bestetige die Anderung in der Registry, vom Spybot (ohne Nachfrage)

die beiden Schluessel, die wir nicht wegbekommen, gehoeren zur Malware.

RootkitRevealer --> poste dieses Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 13:50
Member

Beiträge: 19
#47 HKLM\S-1-5-21-1644491937-879983540-839522115-1004\RemoteAccess\InternetProfile 09.09.2005 13:06 21 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 23.03.2006 16:04 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 23.03.2006 16:04 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 15.04.2006 13:35 64.00 KB Hidden from Windows API.
Seitenanfang Seitenende
15.04.2006, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48 ich finde nichts mehr...
es ist sauber.

Tmp.edb -> This is a temporary workspace for processing transactions

----------------------------------------------------------------------------

multiavtool
http://virus-protect.org/multiavtool.html

wie ich von anderen Usern gehoert habe, muss eine Internetverbindung bestehen und vor jedem Scann das Tool geupdatet werden....

* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 17:12
Member

Beiträge: 19
#49 Erster Scan:

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4741 created Apr 14 2006
Scanning for 186744 viruses, trojans and variants.

Virus Scan Results



04/15/2006 17:09:42


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Betriebssystem]
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 6856
Clean: ................. 6846
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:03.03

Das Ergebnis vom zweiten Scan:

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4741 created Apr 14 2006
Scanning for 186744 viruses, trojans and variants.

Virus Scan Results



04/15/2006 17:17:15


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Betriebssystem]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 38385
Clean: ................. 38374
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:11.25

und nummer Drei:

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4741 created Apr 14 2006
Scanning for 186744 viruses, trojans and variants.

Virus Scan Results



04/15/2006 17:31:25


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Betriebssystem]
Scanning C:\*.*

Summary report on C:\*.*
File(s)
Total files: ........... 107750
Clean: ................. 107683
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 2


Time: 00:20.07
Dieser Beitrag wurde am 15.04.2006 um 17:50 Uhr von Leyje editiert.
Seitenanfang Seitenende
15.04.2006, 20:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 nun, der PC ist sauber. was die zwei verdam... Eintraege betrifft... sind sie weg ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 21:54
Member

Beiträge: 19
#51 Logfile of HijackThis v1.99.1
Scan saved at 21:53:13, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
D:\Programme\ewido anti-malware\ewidoctrl.exe
D:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
D:\Programme\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D855DFC-2DB5-43F0-814A-257F4C074CF1} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7576af59-76ba-46fc-9876-624f1814d885} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {12F7F128-B36C-4843-8AA4-A5F71A969331} -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135383880609
O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
Seitenanfang Seitenende
15.04.2006, 23:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Leyje

selten aber wahr...ich gebs auf.
Lass den PC , wie er ist, denn er ist annaehernd sauber.
Wenn du mal ans Formatieren denkst...so mache es ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 23:37
Member

Beiträge: 19
#53 Dann erst einmal ein dickes DANKE!

ich werde die Einträge im Auge behalten und ab und an mal HJT drüber jagen.
In den letten Tagen hatte ich ja reichlich Gelegenheit die Abgründe meines PCs zu betrachten. Schade das man als Otto-Normal von diesen SW - Struckturen so ver''gageiert'' werden kann. Die Zeiten in denen man Flachrelais für Rechner baute oder später den Z80 wünsche ich mir zwar nicht unbedingt zurück, aber sie waren doch noch Nachvollziehbare Dinge und auch für den Nicht-Fachman erlernbar.
Frohe Ostern.

Nachtrag: fast vergessen..

die Änderungen die von den .reg Dateien bei jedem PC Start durchgeführt werden müssen so drinn bleiben , oder muss ich da noch was ändern ? ;)

(dat.reg, fix.reg, fixme.reg, log.reg)
Dieser Beitrag wurde am 16.04.2006 um 00:05 Uhr von Leyje editiert.
Seitenanfang Seitenende
16.04.2006, 13:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54

Zitat

die Änderungen die von den .reg Dateien bei jedem PC Start durchgeführt werden müssen so drinn bleiben , oder muss ich da noch was ändern ?
wieso muessen die bei jedem Start neu ausgefuehrt werden ???
Du hast sie der Registry beigefuegt (hoffentlich) und da sind sie nun verankert.
Ich verstehe deine Frage nicht....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2006, 08:01
Member

Beiträge: 19
#55 War wohl ein Spybot - Problem . Nach Aufruf von Spybot traten keine erneuten Anfragen zur Bestätigung von Spybot mehr auf.
;) kA was das jetzt war!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »