Virus DR/Agent.YR

#0
03.02.2008, 03:55
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#46 Erst nach dem scan von Nod32

RegSearch
Download Registry Search Tool zum Desktop
Unzip diesen Tool und starte RegSrch.vbs
Wenn eine Meldung kommt ueber das ausfuehren von ein vbs script erlaube es

Im Suchfeld kopiere das folgende rein:
Browser Optimizer Dcads
Wenn etwas gefunden wird,safe log
Melde das resultat von regsearch.
Mache dasselbe mit den naechsten zwei:

Browser Optimizer Superiorads
Windows Safety Alert


Poste die Resultate in dein naechsten report.

Und jetzt werde ich erst mal gehen
__________
MfG Argus
Seitenanfang Seitenende
03.02.2008, 18:42
...neu hier

Beiträge: 1
#47 Hallo zusammen

Ich verfolge diesen Thread gespannt. Auch bei mir meldete Antivir vor ein paar Tagen denselben Trojaner (DR/Agent.YR) und dieser schloss Browserfenster von alleine (wie beim TS). Nach einigen Malware- und Virenscans hörte der Spuk mit den autom. geschlossenen Fenstern auf. Heute dann wieder die Meldung von Antivir, wobei ich die Datei aupd.exe wieder nicht finden konnte... Also wenn hier eine Lösung gefunden wird wäre ich sehr froh, obwohl mein System nun äusserlich einwandfrei funktioniert. Hab einfach ein wenig Angst gecrackt worden zu sein... ist dies berechtigt?!

Viele Grüsse
Mathias
Seitenanfang Seitenende
05.02.2008, 01:44
Member

Beiträge: 81
#48 Hallo,
Nod32 scan hab ich gemacht, doch ich konnte nix kopieren und unter C: war die Datei nicht zu finden :-(
RegSearch hatte keine Resultate!
Antivir hat heute wieder DR/Agent.YR aupd.exe gemeldet. Unter suche ist die Datei nicht zu finden. der browser schließt sich auch wieder unerwartet.
Bitte um weitere Hilfe, das wäre toll!
Gruss dreamei
Seitenanfang Seitenende
05.02.2008, 12:02
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#49 Hallo,

weiss nicht auf die Schnelle, ob wir schon folgendes versucht haben:

scanne mit Antivirus im abgesicherten Modus, speichere den Scanreport ab und poste ihn hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.02.2008, 17:56
Member

Beiträge: 81
#50 den scan mit antivir hab ich gemacht. kann die datei aber nicht posten, ist scheinbar zu groß. als anhang gehts auch nicht, wird mir aufgrund der größe verweigert:-(
Seitenanfang Seitenende
05.02.2008, 18:06
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#51 dann kopiere nur ab, wo eine Virenwarnung erscheint
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.02.2008, 19:00
Member

Beiträge: 81
#52 So hier die angeforderten reports.
Könnt ihr damit weiterhelfen?

C:\Dokumente und Einstellungen\SPOCKY\Desktop\
ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 327882R2FWJFW\Boot.bat
--> 327882R2FWJFW\C.bat
--> 327882R2FWJFW\Combobatch.bat
--> 327882R2FWJFW\Comspec.bat
--> 327882R2FWJFW\DelClsid.bat
--> 327882R2FWJFW\Disclaimer.bat
--> 327882R2FWJFW\FIND3M.bat
--> 327882R2FWJFW\FIXLSP.bat
--> 327882R2FWJFW\history.bat
--> 327882R2FWJFW\Lang.bat
--> 327882R2FWJFW\List-C.bat
--> 327882R2FWJFW\MoveIt.bat
--> 327882R2FWJFW\ND_.bat
--> 327882R2FWJFW\NTP.bat
--> 327882R2FWJFW\pid.bat
--> 327882R2FWJFW\Qoo.bat
--> 327882R2FWJFW\RestoreO4.bat
--> 327882R2FWJFW\SafeBootRepair.bat
--> 327882R2FWJFW\SetEnvmt.bat
--> 327882R2FWJFW\Sys.bat
--> 327882R2FWJFW\upload.bat
--> Start_.cmd
--> 327882R2FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> 327882R2FWJFW\ntp.exe
--> 327882R2FWJFW\NTPBack.exe
--> 327882R2FWJFW\ComboFix.sys
--> 327882R2FWJFW\BootSect
--> 327882R2FWJFW\catchme.cfexe
--> 327882R2FWJFW\dd.cfexe
--> 327882R2FWJFW\dumphive.cfexe
--> 327882R2FWJFW\ERUNT.cfexe
--> 327882R2FWJFW\extract.cfexe
--> 327882R2FWJFW\fdsv.cfexe
--> 327882R2FWJFW\grep.cfexe
--> 327882R2FWJFW\gsar.cfexe
--> 327882R2FWJFW\handle.cfexe
--> 327882R2FWJFW\ListDlls.cfexe
--> 327882R2FWJFW\moveex.cfexe
--> 327882R2FWJFW\mtee.cfexe
--> 327882R2FWJFW\nircmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> 327882R2FWJFW\psexec.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> 327882R2FWJFW\RestartIt.cfexe
--> 327882R2FWJFW\sed.cfexe
--> 327882R2FWJFW\setpath.cfexe
--> 327882R2FWJFW\SF.cfexe
--> 327882R2FWJFW\swreg.cfexe
--> 327882R2FWJFW\swsc.cfexe
--> 327882R2FWJFW\swxcacls.cfexe
--> 327882R2FWJFW\vfind.cfexe
--> 327882R2FWJFW\zip.cfexe
--> 327882R2FWJFW\023.dat
--> 327882R2FWJFW\023v.dat
--> 327882R2FWJFW\clsid.dat
--> 327882R2FWJFW\Creg.dat
--> 327882R2FWJFW\executables.dat
--> 327882R2FWJFW\Fin.dat
--> 327882R2FWJFW\LocalService.dat
--> 327882R2FWJFW\LocalServiceNetworkRestricted.dat
--> 327882R2FWJFW\LocalSystemNetworkRestricted.dat
--> 327882R2FWJFW\ndis_combofix.dat
--> 327882R2FWJFW\netsvc.bad.dat
--> 327882R2FWJFW\netsvc.dat
--> 327882R2FWJFW\netsvc.vista.dat
--> 327882R2FWJFW\netsvc.xp.dat
--> 327882R2FWJFW\NetworkService.dat
--> 327882R2FWJFW\Policies.dat
--> 327882R2FWJFW\Purity.dat
--> 327882R2FWJFW\region.dat
--> 327882R2FWJFW\rogues.dat
--> 327882R2FWJFW\safeboot.dat
--> 327882R2FWJFW\safeboot.def.dat
--> 327882R2FWJFW\safeboot.def.vista.dat
--> 327882R2FWJFW\svc_wht.dat
--> 327882R2FWJFW\svchost.dat
--> 327882R2FWJFW\svchost.vista.dat
--> 327882R2FWJFW\system_ini.dat
--> 327882R2FWJFW\whitedirB.dat
--> 327882R2FWJFW\WhiteLegacy.dat
--> 327882R2FWJFW\zhsvc.dat
--> 327882R2FWJFW\ERDNT.e_e
--> 327882R2FWJFW\ERDNTDOS.loc
--> 327882R2FWJFW\ERDNTWIN.loc
--> 327882R2FWJFW\ERUNT.loc
--> 327882R2FWJFW\Exe.reg
--> 327882R2FWJFW\FProps.vbs
--> 327882R2FWJFW\LFN.vbs
--> 327882R2FWJFW\lnkread.vbs
--> 327882R2FWJFW\LocalDrive.vbs
--> 327882R2FWJFW\OSid.vbs
--> 327882R2FWJFW\restore_pt.vbs
--> 327882R2FWJFW\SvcDrv.vbs
Internet Explorer Browser starten.lnk
RegSrch.zip
[0] Archivtyp: ZIP
--> RegSrch.vbs
SDFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SDFix\apps\leg2.txt
--> SDFix\apps\legacy.txt
--> SDFix\apps\legacybk.txt
--> SDFix\apps\Rem.txt
--> SDFix\apps\Rem2.txt
--> SDFix\apps\srv2.txt
--> SDFix\apps\srv2bk.txt
--> SDFix\apps\svc.txt
--> SDFix\apps\svcbk.txt
--> SDFix\RunThis.bat
--> SDFix\apps\locate.com
--> SDFix\catchme.exe
--> SDFix\apps\cliptext.exe
--> SDFix\apps\download.exe
--> SDFix\apps\dummy.exe
--> SDFix\apps\ERUNT.EXE
--> SDFix\apps\FixPath.exe
--> SDFix\apps\isadmin.exe
--> SDFix\apps\LS.exe
--> SDFix\apps\Process.exe
--> SDFix\apps\procs.exe
--> SDFix\apps\psservice.exe
--> SDFix\apps\RegDACL.exe
--> SDFix\apps\regedit.exe
--> SDFix\apps\RestartIt!.exe
--> SDFix\apps\sc.exe
--> SDFix\apps\SF.exe
--> SDFix\apps\shutdown.exe
--> SDFix\apps\swreg.exe
--> SDFix\apps\swsc.exe
--> SDFix\apps\unzip.exe
--> SDFix\apps\Replace\W2K.exe
[1] Archivtyp: ZIP SFX (self extracting)
--> autoexec.nt
--> command.com
--> config.nt
--> SDFix\apps\WINMSG.EXE
--> SDFix\apps\Replace\XP.exe
[1] Archivtyp: ZIP SFX (self extracting)
--> command.com
--> AUTOEXEC.nt
--> SDFix\apps\zip.exe
--> SDFix\apps\Replace\w2k\beep.sys
--> SDFix\apps\Replace\xp\beep.sys
--> SDFix\apps\dummy.sys
--> SDFix\apps\Replace\w2k\null.sys
--> SDFix\apps\Replace\xp\null.sys
--> SDFix\apps\ERDNT.E_E
--> SDFix\apps\ERDNTDOS.loc
--> SDFix\apps\ERDNTWIN.loc
--> SDFix\apps\ERUNT.loc
--> SDFix\apps\assosfix.reg
--> SDFix\apps\Enable_Command_Prompt.reg
--> SDFix\apps\fix.reg
--> SDFix\apps\FixBH.reg
--> SDFix\apps\FIXCU.reg
--> SDFix\apps\FIXLM.reg
--> SDFix\apps\FixRedir.reg
--> SDFix\apps\FixSchedule.reg
--> SDFix\apps\FixSubSystems.reg
--> SDFix\apps\FixWebCheck.reg
--> SDFix\apps\fixXP.reg
--> SDFix\apps\FixXPsp2.reg
--> SDFix\apps\HPFix.reg
--> SDFix\apps\HPFix2.reg
--> SDFix\apps\HPFix3.reg
--> SDFix\apps\HPFix4.reg
--> SDFix\apps\HPFix5.reg
--> SDFix\apps\MyGcpvFix.reg
--> SDFix\apps\MyGkFix2.reg
--> SDFix\apps\Reset_AppInit_DLLs.reg
--> SDFix\apps\Restore_SecurityCenter.reg
--> SDFix\apps\Restore_SharedAccess.reg
--> SDFix\apps\SecPro1.reg
--> SDFix\apps\SecPro2.reg
--> SDFix\apps\SecPro3.reg
--> SDFix\apps\SecPro4.reg
--> SDFix\apps\SecurityProviders.reg
--> SDFix\apps\winsec.reg
--> SDFix\SDFIX_ReadMe_Online.url
tempfiles.bat
Verknüpfung mit HijackThis.exe.lnk



C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temp\plugtmp\
feed-json.php
C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temp\plugtmp-3\
feed-json.php
C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temporary Internet Files\Content.IE5\
index.dat
C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8BCNCZT1\
url_redir_cfg[1].htm
C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WGMK6XC0\
DcadsSocialSetup[1]
url_redir_cfg[1].htm
C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Verlauf\History.IE5\
index.dat
C:\SAV32CLI\
APPC01.vdb
OSDP.DLL
READCLI.txt
SAV32CLI.EXE
SAVI.DLL
SAVMSCM.DLL
SUS01.vdb
SVEXT.DAT
VDL.dat
VDL01.vdb
VDL02.vdb
VDL03.vdb
VDL04.vdb
VDL05.vdb
VDL06.vdb
VDL07.vdb
VDL08.vdb
VDL09.vdb
VDL10.vdb
VDL11.vdb
VDL12.vdb
VDL13.vdb
VDL14.vdb
VDL15.vdb
VDL16.vdb
VDL17.vdb
VDL18.vdb
VDL19.vdb
VDL20.vdb
VDL21.vdb
VDL22.vdb
VDL23.vdb
VDL24.vdb
VDL25.vdb
VDL26.vdb
VDL27.vdb
VDL28.vdb
VDL29.vdb
VDL30.vdb
VDL31.vdb
VDL32.vdb
VDL33.vdb
VDL34.vdb
VDL35.vdb
VDL36.vdb
VDL37.vdb
VDL38.vdb
VDL39.vdb
VDL40.vdb
VEEX.DLL
C:\Temp\
debug.txt
EnhancedDataOutput.txt
C:\WINDOWS\
0.log
ACD Wallpaper.bmp
ActiveSkin.INI
alcrmv.exe
alcupd.exe
Angler.bmp
ASGLOBE.HIS
asglobe.ini
BCMWL.DMR
BJPSUNST.EXE
Blaue Spitzen 16.bmp
bootstat.dat
cdplayer.ini
clock.avi
cncscore.ini
control.ini
desktop.ini
dokop301.ini
DWUninst.exe
eBay.ico
explorer.exe
explorer.scf
Feder.bmp
Firefox Wallpaper.bmp
Fächer.bmp
genius-uninst.exe
Granit.bmp
hh.exe
iPlayer.INI
IsUn0407.exe
IsUninst.exe
iun6002.exe
JR.INI
Kaffeetasse.bmp
maxlink.ini
ModemLog_Smart Link 56K Modem.txt
mozver.dat
msdfmap.ini
Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3
NOTEPAD.EXE
nsreg.dat
ntbtlog.txt
ODBC.ini
ODBCINST.ini
OP70.INI
OP9Deins.exe
OPDIRDEL.exe
OPPRIN~1.INI
orun32.ini
orun32.isu
PCDLIB32.DLL
phbase.ini
progman.ini
Präriewind.bmp
QTFont.for
QTFont.qfn
regedit.exe
REGLOCS.old
Rhododendron.bmp
Santa Fe-Stuck.bmp
SBINET.INI
SchedLgU.txt
Seifenblase.bmp
Setup1.exe
setupact.log
setupapi.log
setupapi.log.0.old
setuperr.log
sl.lng
slrundll.exe
SmCfg.exe
smscfg.ini
SOUNDMAN.EXE
ST5UNST.EXE
ST6UNST.EXE
swcmpc.ini
system.ini
TASKMAN.EXE
tdf.dii
tm.ini
twain.dll
twain_32.dll
twunk_16.exe
twunk_32.exe
una2setup.exe
unin0407.exe
Uninsop9.exe
UninstallFirefox.exe
Unwise.exe
vb.ini
vbaddin.ini
vmmreg32.dll
VPNInstall.mif
VPNUnInstall.mif
W0190WUn.EXE
win.ini
winamp.ini
WindowsShell.manifest
WindowsUpdate.log
winhelp.exe
winhlp32.exe
winnt.bmp
winnt256.bmp
WLP.ini
wmprfDEU.prx
WMSysPr8.prx
WMSysPr9.prx
Zapotek.bmp
_default.pif
_detmp.1
_detmp.2

falls noch etwas fehlt, bitte sagen!!!
warte schon gespannt auf eine antwort.
falls es nur aus zeitmangel ist, dann warte ich gerne geduldig weiter.
gruss dreamei
Dieser Beitrag wurde am 06.02.2008 um 17:33 Uhr von dreamei editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: