TR/Dldr.Agent.RQ.4

#1 Hallo, bin ganz neu und unsicher.
Bei mir kommt bei Programmwechseln, beim Ausdrucken oder zwischendurch das Antivir mit der Meldung: TR/Dldr.Agent.RQ.4 versucht auf c:\windows\system32\psksds.dll zuzugreifen. Ich muß viele Male 'Zugriff verweigern' drücken.
Hijack this bringt folg. Meldung:
Logfile of HijackThis v1.99.1
Scan saved at 12:29:06, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\PC Tools AntiVirus\ScanningProcess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\System32\MSTMON_J.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FRITZ!\IWatch.exe
C:\DOKUME~1\Infoline\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onnachrichten.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {A6F8A05E-7F7E-AE65-02CB-03CD227BB4D7} - bingo9.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [magicolor 2300WStatusDisplay] C:\WINDOWS\System32\MSTMON_J.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CToolBar] 10010.exe
O4 - HKLM\..\Run: [BoundRec] LOPTCON.exe
O4 - HKLM\..\Run: [bbdd0036.exe] C:\WINDOWS\system32\bbdd0036.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141568610500
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152446073906
O17 - HKLM\System\CCS\Services\Tcpip\..\{547A43DA-F2E1-4D1C-9475-42EA0ABB7C3B}: NameServer = 85.255.114.13
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: psksds - C:\WINDOWS\SYSTEM32\psksds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - Unknown owner - C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

Kann mir jemand mit diesen Angaben weiterhelfen? Danke. Gruss zactrale

#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo, zunächst danke.
Habe Schwierigkeiten, meine Antwort wegzusenden - Mein Text verschwindet vom Bildschirm und ich muß ihn neu eingeben.

Hier meine Ergebnisse:
Verzeichnis von C:\WINDOWS\system32

20.07.2006 07:59 39.585 ikhcore.log
14.07.2006 08:10 1.170 wpa.dbl
25.06.2006 08:20 15.360 oembios.exe
22.06.2006 12:47 181.248 rasmans.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
18.06.2006 12:50 367.996 perfh009.dat
18.06.2006 12:50 59.760 perfc009.dat
18.06.2006 12:50 69.726 perfc007.dat
18.06.2006 12:50 384.500 perfh007.dat
08.06.2006 18:19 5.967.776 MRT.exe
02.06.2006 11:04 57.384 avsda.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
24.04.2006 15:40 4.730.880 wmp.dll

Verzeichnis von C:\DOKUME~1\Infoline\LOKALE~1\Temp

20.07.2006 13:32 0 JET1D60.tmp
20.07.2006 13:32 0 JET188D.tmp
20.07.2006 13:31 16.384 Perflib_Perfdata_9c24.dat
20.07.2006 08:36 416 java_install_reg.log
20.07.2006 08:07 79.557 pl_euronics_060718.pdf
20.07.2006 08:02 16.384 Perflib_Perfdata_618.dat
20.07.2006 08:00 406 jusched.log
7 Datei(en) 113.147 Bytes
0 Verzeichnis(se), 13.002.702.848 Bytes frei

Verzeichnis von C:\WINDOWS

20.07.2006 08:05 1.506 win.ini
20.07.2006 08:00 1.243.633 WindowsUpdate.log
20.07.2006 08:00 50 wiaservc.log
20.07.2006 08:00 159 wiadebug.log
20.07.2006 07:59 2.048 bootstat.dat
19.07.2006 17:38 32.554 SchedLgU.Txt
19.07.2006 16:28 211 uno.ini
14.07.2006 16:24 214.394 setupact.log
14.07.2006 16:24 325.525 setupapi.log
12.07.2006 13:02 66.179 KB893803v2.log
09.07.2006 17:53 3.299 tm.ini
09.07.2006 16:21 2.916 KB893803v2Uninst.log
09.07.2006 16:21 336.206 tsoc.log
09.07.2006 16:21 113.635 ntdtcsetup.log
09.07.2006 16:21 186.993 comsetup.log
09.07.2006 16:21 1.140.738 iis6.log
09.07.2006 16:21 32.486 tabletoc.log
09.07.2006 16:21 1.355 imsins.log
09.07.2006 16:21 22.890 ocmsn.log
09.07.2006 16:20 23.113 medctroc.Log
09.07.2006 16:20 112.940 netfxocm.log
09.07.2006 16:20 361.410 ocgen.log
09.07.2006 16:20 35.656 msgsocm.log
09.07.2006 16:20 701.372 FaxSetup.log
09.07.2006 16:20 231.704 msmqinst.log
09.07.2006 14:54 879 MSI30-KB884016.log
09.07.2006 14:20 32.961 spupdsvc.log
09.07.2006 14:18 14.717 KB898461.log
09.07.2006 14:12 8.837 WgaNotify.log
09.07.2006 14:10 33.096 updspapi.log
09.07.2006 14:09 1.355 imsins.BAK
09.07.2006 14:09 11.371 KB911280.log
09.07.2006 14:04 14.324 KB908531.log
08.07.2006 18:14 205 brqikmon.ini
28.06.2006 18:05 2.425.796 ntbtlog.txt
25.06.2006 12:43 9.808 EventSystem.log
18.06.2006 16:15 2.026 OEWABLog.txt
18.06.2006 14:53 10.967 KB917734.log
18.06.2006 14:53 3.847 wmsetup.log
18.06.2006 14:53 15.535 KB911562.log
18.06.2006 14:52 15.540 KB900485.log
18.06.2006 14:52 14.787 KB918439.log
18.06.2006 14:52 15.147 KB917344.log
18.06.2006 14:52 14.927 KB917953.log
18.06.2006 14:52 18.731 KB916281.log
18.06.2006 14:51 12.240 KB913580.log
18.06.2006 14:51 11.060 KB911567.log
18.06.2006 14:51 11.979 KB914389.log
18.06.2006 13:22 0 nsreg.dat
18.06.2006 13:21 2.266 mozver.dat

Verzeichnis von C:\

20.07.2006 14:22 0 sys.txt
20.07.2006 14:22 11.746 system.txt
20.07.2006 14:22 771 systemtemp.txt
20.07.2006 14:22 113.335 system32.txt
20.07.2006 07:59 805.306.368 pagefile.sys
11.03.2006 14:25 211 boot.ini
11.03.2006 14:12 47.564 NTDETECT.COM
11.03.2006 14:12 251.184 ntldr
16.01.2006 14:03 792 temp2.reg
16.01.2006 14:03 59.912 temp.reg
22.10.2005 13:58 84 PBREG32.TXT


Der 3. Punkt:
War es richtig, nur zu scannen und nicht zu cleanen?

07/20/06 12:57:22 [Info]: BlackLight Engine 1.0.42 initialized
07/20/06 12:57:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/20/06 12:57:22 [Note]: 7019 4
07/20/06 12:57:22 [Note]: 7005 0
07/20/06 12:57:32 [Note]: 7006 0
07/20/06 12:57:33 [Note]: 7011 1376
07/20/06 12:57:33 [Note]: 7026 0
07/20/06 12:57:33 [Note]: 7026 0
07/20/06 12:57:45 [Note]: FSRAW library version 1.7.1019
07/20/06 12:59:09 [Info]: Hidden file: c:\WINDOWS\system32\p76xxsks.sys
07/20/06 12:59:58 [Note]: 7002 0
07/20/06 12:59:58 [Note]: 7003 1
07/20/06 12:59:58 [Note]: 10002 1
07/20/06 13:00:03 [Info]: Hidden file: c:\WINDOWS\system32\psksds.dll
07/20/06 13:00:54 [Note]: 7002 0
07/20/06 13:00:54 [Note]: 7003 1
07/20/06 13:00:54 [Note]: 10002 1
07/20/06 13:02:53 [Note]: 7007 0

Danke.
Gruss Jürgen von zactrale

#4 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\oembios.exe
c:\WINDOWS\system32\psksds.dll
c:\WINDOWS\system32\p76xxsks.sys
C:\WINDOWS\system32\bbdd0036.exe


poste hier die Reporte
---------------------------------------------------------------------

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

p76xxsks

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit