Home » Viren, Trojaner & Malware Forum » Tr/drop.agent.cwd » Themenansicht

Tr/drop.agent.cwd

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.12.2007, 23:45
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#16 Es hat sich nichts geändert ;)

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\awtqo.dll

Ich komme Morgen hier auf zurueck muss mal meine Kumpel in Holland fragen
__________
MfG Argus
Seitenanfang Seitenende
22.12.2007, 23:55
couchi75
Member

Themenstarter

Beiträge: 13
#17 das ergebnis von beiden Dateien war negativ (0%)

Danke dir trotzdem für deine Mühe.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:03, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Microsoft IntelliType Pro\type32 .exe
C:\WINDOWS\system32\ctfmon .exe
C:\Programme\avmwlanstick\wlangui .exe
C:\Programme\Microsoft IntelliPoint\point32 .exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware .exe
C:\Programme\games\games.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Normal\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2CB4162C-F10B-48DA-955E-126ABA61A5E7} - C:\WINDOWS\system32\awtqo.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig .exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice.lnk = ?
O4 - Global Startup: games.lnk = C:\Programme\games\games-frm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194887088921
O17 - HKLM\System\CCS\Services\Tcpip\..\{516E7558-9498-4D4B-AA61-05D8FB4DB906}: NameServer = 62.109.123.196 213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4773 bytes
Seitenanfang Seitenende
23.12.2007, 00:04
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#18 KillBox
http://download.bleepingcomputer.com/spyware/KillBox.exe
http://virus-protect.org/killbox.html
Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\awtqo.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

Und wenn das auch nicht geht

VundoFix
Download VundoFix zum Desktop
Doppelklick auf VundoFix.exe um das Tool zu starten
Rechtsklick im weissen Fenster ,jetzt stet da “add more files?”klicke darauf und kopiere im Fenster rein:

C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\awtqo.dll

Klicke den “Add Files” knopf
Klicke den "Close Window" knopf
Klicke den Remove Vundo" knopf
Du wirst gefragt ob du sicher bist um den Eintrag zu entfernen,klicke Yes
Danach werden alle Desktop-Symbole verschwinden
Dann wird man gefragt,ob der PC neustarten soll,klicke OK
Kopiere den Inhalt des Berichts “C:\ vundofix.txt
der jetzt auf dein Desktop steht in diesen Thread

Note:
Es ist moeglich das eine Datei von VundoFix nicht entfernt werden kann
wenn dies der fall ist wird nach neustart des Rechners Vundufix neu starten
und muss die Prozedur des scannens wiederholt werden!
Klicke Scan for Vundo

Anhang: VundoMore.JPG

__________
MfG Argus
Seitenanfang Seitenende
23.12.2007, 00:25
couchi75
Member

Themenstarter

Beiträge: 13
#19 Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtqo.dll
C:\WINDOWS\system32\awtqo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\awtqo.exe
C:\WINDOWS\system32\awtqo.exe Has been deleted!

Performing Repairs to the registry.
Done!
Seitenanfang Seitenende
23.12.2007, 00:27
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 Jetzt bin ich neugierig nach ein HJ log
__________
MfG Argus
Seitenanfang Seitenende
23.12.2007, 00:27
couchi75
Member

Themenstarter

Beiträge: 13
#21 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:27:33, on 23.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Microsoft IntelliType Pro\type32 .exe
C:\Programme\Microsoft IntelliPoint\point32 .exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\Programme\avmwlanstick\wlangui .exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware .exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\games\games.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Normal\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15A5978C-1773-44CC-AD77-EEC51F9F8BA3} - C:\WINDOWS\system32\awtqo.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice.lnk = ?
O4 - Global Startup: games.lnk = C:\Programme\games\games-frm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194887088921
O17 - HKLM\System\CCS\Services\Tcpip\..\{516E7558-9498-4D4B-AA61-05D8FB4DB906}: NameServer = 62.109.123.196 213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4658 bytes
Seitenanfang Seitenende
23.12.2007, 00:37
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F3 - REG:win.ini: load=C:\WINDOWS\system32\awtqo.exe
O2 - BHO: (no name) - {49491308-379E-4E0F-A718-B69DC064C392} - C:\WINDOWS\system32\awtqo.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Rechner neustarten

Und melde mal ob die nachher noch stets im HJ stehen
__________
MfG Argus
Seitenanfang Seitenende
23.12.2007, 01:40
couchi75
Member

Themenstarter

Beiträge: 13
#23 HAtte extreme Probleme den Rechner wieder zum laufen zu bringenm sry.

dieser beiden Einträge stehen noch immer im HJ Log...
Dieser Beitrag wurde am 23.12.2007 um 02:04 Uhr von couchi75 editiert.
Seitenanfang Seitenende
23.12.2007, 03:02
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#24 Versuche mal ein Onlinescan bei Panda http://www.pandasoftware.com/activescan/de/activescan_principal.htm

Ich schicke dir ein PN
__________
MfG Argus
Seitenanfang Seitenende
23.12.2007, 09:23
raman
Moderator

Beiträge: 7805
#25 Falls du die beiden DAteien noch auf deinem Rechner findest, packe sie und schicke sie bitte an thespykiller-forum: http://forum.hijackthis.de/showpost.php?p=157529&postcount=2

Packe bitte noch die ctfmon.exe dazu und erstelle ein neuen Datfind report
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.12.2007, 16:19
couchi75
Member

Themenstarter

Beiträge: 13
#26 Ich musste leider Windows neu aufsetzen, da sich der Rechner (auch nach überspielen von Windows) nicht mehr booten lies...

Danke trotzdem für die nächtliche Hilfe!

Werde den Weihnachtsmann auf eine Extrarunde bei euch vorbeischicken..;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12