Virus DR/Agent.YR |
||
---|---|---|
#0
| ||
03.02.2008, 03:55
Ehrenmitglied
Beiträge: 6028 |
||
|
||
03.02.2008, 18:42
...neu hier
Beiträge: 1 |
#47
Hallo zusammen
Ich verfolge diesen Thread gespannt. Auch bei mir meldete Antivir vor ein paar Tagen denselben Trojaner (DR/Agent.YR) und dieser schloss Browserfenster von alleine (wie beim TS). Nach einigen Malware- und Virenscans hörte der Spuk mit den autom. geschlossenen Fenstern auf. Heute dann wieder die Meldung von Antivir, wobei ich die Datei aupd.exe wieder nicht finden konnte... Also wenn hier eine Lösung gefunden wird wäre ich sehr froh, obwohl mein System nun äusserlich einwandfrei funktioniert. Hab einfach ein wenig Angst gecrackt worden zu sein... ist dies berechtigt?! Viele Grüsse Mathias |
|
|
||
05.02.2008, 01:44
Member
Beiträge: 81 |
#48
Hallo,
Nod32 scan hab ich gemacht, doch ich konnte nix kopieren und unter C: war die Datei nicht zu finden :-( RegSearch hatte keine Resultate! Antivir hat heute wieder DR/Agent.YR aupd.exe gemeldet. Unter suche ist die Datei nicht zu finden. der browser schließt sich auch wieder unerwartet. Bitte um weitere Hilfe, das wäre toll! Gruss dreamei |
|
|
||
05.02.2008, 12:02
Ehrenmitglied
Beiträge: 1441 |
#49
Hallo,
weiss nicht auf die Schnelle, ob wir schon folgendes versucht haben: scanne mit Antivirus im abgesicherten Modus, speichere den Scanreport ab und poste ihn hier __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.02.2008, 17:56
Member
Beiträge: 81 |
#50
den scan mit antivir hab ich gemacht. kann die datei aber nicht posten, ist scheinbar zu groß. als anhang gehts auch nicht, wird mir aufgrund der größe verweigert:-(
|
|
|
||
05.02.2008, 18:06
Ehrenmitglied
Beiträge: 1441 |
#51
dann kopiere nur ab, wo eine Virenwarnung erscheint
__________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
05.02.2008, 19:00
Member
Beiträge: 81 |
#52
So hier die angeforderten reports.
Könnt ihr damit weiterhelfen? C:\Dokumente und Einstellungen\SPOCKY\Desktop\ ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 327882R2FWJFW\Boot.bat --> 327882R2FWJFW\C.bat --> 327882R2FWJFW\Combobatch.bat --> 327882R2FWJFW\Comspec.bat --> 327882R2FWJFW\DelClsid.bat --> 327882R2FWJFW\Disclaimer.bat --> 327882R2FWJFW\FIND3M.bat --> 327882R2FWJFW\FIXLSP.bat --> 327882R2FWJFW\history.bat --> 327882R2FWJFW\Lang.bat --> 327882R2FWJFW\List-C.bat --> 327882R2FWJFW\MoveIt.bat --> 327882R2FWJFW\ND_.bat --> 327882R2FWJFW\NTP.bat --> 327882R2FWJFW\pid.bat --> 327882R2FWJFW\Qoo.bat --> 327882R2FWJFW\RestoreO4.bat --> 327882R2FWJFW\SafeBootRepair.bat --> 327882R2FWJFW\SetEnvmt.bat --> 327882R2FWJFW\Sys.bat --> 327882R2FWJFW\upload.bat --> Start_.cmd --> 327882R2FWJFW\nircmd.com [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3 [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> 327882R2FWJFW\ntp.exe --> 327882R2FWJFW\NTPBack.exe --> 327882R2FWJFW\ComboFix.sys --> 327882R2FWJFW\BootSect --> 327882R2FWJFW\catchme.cfexe --> 327882R2FWJFW\dd.cfexe --> 327882R2FWJFW\dumphive.cfexe --> 327882R2FWJFW\ERUNT.cfexe --> 327882R2FWJFW\extract.cfexe --> 327882R2FWJFW\fdsv.cfexe --> 327882R2FWJFW\grep.cfexe --> 327882R2FWJFW\gsar.cfexe --> 327882R2FWJFW\handle.cfexe --> 327882R2FWJFW\ListDlls.cfexe --> 327882R2FWJFW\moveex.cfexe --> 327882R2FWJFW\mtee.cfexe --> 327882R2FWJFW\nircmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3 [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> 327882R2FWJFW\psexec.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072 [WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden --> 327882R2FWJFW\RestartIt.cfexe --> 327882R2FWJFW\sed.cfexe --> 327882R2FWJFW\setpath.cfexe --> 327882R2FWJFW\SF.cfexe --> 327882R2FWJFW\swreg.cfexe --> 327882R2FWJFW\swsc.cfexe --> 327882R2FWJFW\swxcacls.cfexe --> 327882R2FWJFW\vfind.cfexe --> 327882R2FWJFW\zip.cfexe --> 327882R2FWJFW\023.dat --> 327882R2FWJFW\023v.dat --> 327882R2FWJFW\clsid.dat --> 327882R2FWJFW\Creg.dat --> 327882R2FWJFW\executables.dat --> 327882R2FWJFW\Fin.dat --> 327882R2FWJFW\LocalService.dat --> 327882R2FWJFW\LocalServiceNetworkRestricted.dat --> 327882R2FWJFW\LocalSystemNetworkRestricted.dat --> 327882R2FWJFW\ndis_combofix.dat --> 327882R2FWJFW\netsvc.bad.dat --> 327882R2FWJFW\netsvc.dat --> 327882R2FWJFW\netsvc.vista.dat --> 327882R2FWJFW\netsvc.xp.dat --> 327882R2FWJFW\NetworkService.dat --> 327882R2FWJFW\Policies.dat --> 327882R2FWJFW\Purity.dat --> 327882R2FWJFW\region.dat --> 327882R2FWJFW\rogues.dat --> 327882R2FWJFW\safeboot.dat --> 327882R2FWJFW\safeboot.def.dat --> 327882R2FWJFW\safeboot.def.vista.dat --> 327882R2FWJFW\svc_wht.dat --> 327882R2FWJFW\svchost.dat --> 327882R2FWJFW\svchost.vista.dat --> 327882R2FWJFW\system_ini.dat --> 327882R2FWJFW\whitedirB.dat --> 327882R2FWJFW\WhiteLegacy.dat --> 327882R2FWJFW\zhsvc.dat --> 327882R2FWJFW\ERDNT.e_e --> 327882R2FWJFW\ERDNTDOS.loc --> 327882R2FWJFW\ERDNTWIN.loc --> 327882R2FWJFW\ERUNT.loc --> 327882R2FWJFW\Exe.reg --> 327882R2FWJFW\FProps.vbs --> 327882R2FWJFW\LFN.vbs --> 327882R2FWJFW\lnkread.vbs --> 327882R2FWJFW\LocalDrive.vbs --> 327882R2FWJFW\OSid.vbs --> 327882R2FWJFW\restore_pt.vbs --> 327882R2FWJFW\SvcDrv.vbs Internet Explorer Browser starten.lnk RegSrch.zip [0] Archivtyp: ZIP --> RegSrch.vbs SDFix.exe [0] Archivtyp: RAR SFX (self extracting) --> SDFix\apps\leg2.txt --> SDFix\apps\legacy.txt --> SDFix\apps\legacybk.txt --> SDFix\apps\Rem.txt --> SDFix\apps\Rem2.txt --> SDFix\apps\srv2.txt --> SDFix\apps\srv2bk.txt --> SDFix\apps\svc.txt --> SDFix\apps\svcbk.txt --> SDFix\RunThis.bat --> SDFix\apps\locate.com --> SDFix\catchme.exe --> SDFix\apps\cliptext.exe --> SDFix\apps\download.exe --> SDFix\apps\dummy.exe --> SDFix\apps\ERUNT.EXE --> SDFix\apps\FixPath.exe --> SDFix\apps\isadmin.exe --> SDFix\apps\LS.exe --> SDFix\apps\Process.exe --> SDFix\apps\procs.exe --> SDFix\apps\psservice.exe --> SDFix\apps\RegDACL.exe --> SDFix\apps\regedit.exe --> SDFix\apps\RestartIt!.exe --> SDFix\apps\sc.exe --> SDFix\apps\SF.exe --> SDFix\apps\shutdown.exe --> SDFix\apps\swreg.exe --> SDFix\apps\swsc.exe --> SDFix\apps\unzip.exe --> SDFix\apps\Replace\W2K.exe [1] Archivtyp: ZIP SFX (self extracting) --> autoexec.nt --> command.com --> config.nt --> SDFix\apps\WINMSG.EXE --> SDFix\apps\Replace\XP.exe [1] Archivtyp: ZIP SFX (self extracting) --> command.com --> AUTOEXEC.nt --> SDFix\apps\zip.exe --> SDFix\apps\Replace\w2k\beep.sys --> SDFix\apps\Replace\xp\beep.sys --> SDFix\apps\dummy.sys --> SDFix\apps\Replace\w2k\null.sys --> SDFix\apps\Replace\xp\null.sys --> SDFix\apps\ERDNT.E_E --> SDFix\apps\ERDNTDOS.loc --> SDFix\apps\ERDNTWIN.loc --> SDFix\apps\ERUNT.loc --> SDFix\apps\assosfix.reg --> SDFix\apps\Enable_Command_Prompt.reg --> SDFix\apps\fix.reg --> SDFix\apps\FixBH.reg --> SDFix\apps\FIXCU.reg --> SDFix\apps\FIXLM.reg --> SDFix\apps\FixRedir.reg --> SDFix\apps\FixSchedule.reg --> SDFix\apps\FixSubSystems.reg --> SDFix\apps\FixWebCheck.reg --> SDFix\apps\fixXP.reg --> SDFix\apps\FixXPsp2.reg --> SDFix\apps\HPFix.reg --> SDFix\apps\HPFix2.reg --> SDFix\apps\HPFix3.reg --> SDFix\apps\HPFix4.reg --> SDFix\apps\HPFix5.reg --> SDFix\apps\MyGcpvFix.reg --> SDFix\apps\MyGkFix2.reg --> SDFix\apps\Reset_AppInit_DLLs.reg --> SDFix\apps\Restore_SecurityCenter.reg --> SDFix\apps\Restore_SharedAccess.reg --> SDFix\apps\SecPro1.reg --> SDFix\apps\SecPro2.reg --> SDFix\apps\SecPro3.reg --> SDFix\apps\SecPro4.reg --> SDFix\apps\SecurityProviders.reg --> SDFix\apps\winsec.reg --> SDFix\SDFIX_ReadMe_Online.url tempfiles.bat Verknüpfung mit HijackThis.exe.lnk C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temp\plugtmp\ feed-json.php C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temp\plugtmp-3\ feed-json.php C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ index.dat C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8BCNCZT1\ url_redir_cfg[1].htm C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WGMK6XC0\ DcadsSocialSetup[1] url_redir_cfg[1].htm C:\Sandbox\SPOCKY\DefaultBox\user\current\Lokale Einstellungen\Verlauf\History.IE5\ index.dat C:\SAV32CLI\ APPC01.vdb OSDP.DLL READCLI.txt SAV32CLI.EXE SAVI.DLL SAVMSCM.DLL SUS01.vdb SVEXT.DAT VDL.dat VDL01.vdb VDL02.vdb VDL03.vdb VDL04.vdb VDL05.vdb VDL06.vdb VDL07.vdb VDL08.vdb VDL09.vdb VDL10.vdb VDL11.vdb VDL12.vdb VDL13.vdb VDL14.vdb VDL15.vdb VDL16.vdb VDL17.vdb VDL18.vdb VDL19.vdb VDL20.vdb VDL21.vdb VDL22.vdb VDL23.vdb VDL24.vdb VDL25.vdb VDL26.vdb VDL27.vdb VDL28.vdb VDL29.vdb VDL30.vdb VDL31.vdb VDL32.vdb VDL33.vdb VDL34.vdb VDL35.vdb VDL36.vdb VDL37.vdb VDL38.vdb VDL39.vdb VDL40.vdb VEEX.DLL C:\Temp\ debug.txt EnhancedDataOutput.txt C:\WINDOWS\ 0.log ACD Wallpaper.bmp ActiveSkin.INI alcrmv.exe alcupd.exe Angler.bmp ASGLOBE.HIS asglobe.ini BCMWL.DMR BJPSUNST.EXE Blaue Spitzen 16.bmp bootstat.dat cdplayer.ini clock.avi cncscore.ini control.ini desktop.ini dokop301.ini DWUninst.exe eBay.ico explorer.exe explorer.scf Feder.bmp Firefox Wallpaper.bmp Fächer.bmp genius-uninst.exe Granit.bmp hh.exe iPlayer.INI IsUn0407.exe IsUninst.exe iun6002.exe JR.INI Kaffeetasse.bmp maxlink.ini ModemLog_Smart Link 56K Modem.txt mozver.dat msdfmap.ini Nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.3 NOTEPAD.EXE nsreg.dat ntbtlog.txt ODBC.ini ODBCINST.ini OP70.INI OP9Deins.exe OPDIRDEL.exe OPPRIN~1.INI orun32.ini orun32.isu PCDLIB32.DLL phbase.ini progman.ini Präriewind.bmp QTFont.for QTFont.qfn regedit.exe REGLOCS.old Rhododendron.bmp Santa Fe-Stuck.bmp SBINET.INI SchedLgU.txt Seifenblase.bmp Setup1.exe setupact.log setupapi.log setupapi.log.0.old setuperr.log sl.lng slrundll.exe SmCfg.exe smscfg.ini SOUNDMAN.EXE ST5UNST.EXE ST6UNST.EXE swcmpc.ini system.ini TASKMAN.EXE tdf.dii tm.ini twain.dll twain_32.dll twunk_16.exe twunk_32.exe una2setup.exe unin0407.exe Uninsop9.exe UninstallFirefox.exe Unwise.exe vb.ini vbaddin.ini vmmreg32.dll VPNInstall.mif VPNUnInstall.mif W0190WUn.EXE win.ini winamp.ini WindowsShell.manifest WindowsUpdate.log winhelp.exe winhlp32.exe winnt.bmp winnt256.bmp WLP.ini wmprfDEU.prx WMSysPr8.prx WMSysPr9.prx Zapotek.bmp _default.pif _detmp.1 _detmp.2 falls noch etwas fehlt, bitte sagen!!! warte schon gespannt auf eine antwort. falls es nur aus zeitmangel ist, dann warte ich gerne geduldig weiter. gruss dreamei Dieser Beitrag wurde am 06.02.2008 um 17:33 Uhr von dreamei editiert.
|
|
|
||
RegSearch
Download Registry Search Tool zum Desktop
Unzip diesen Tool und starte RegSrch.vbs
Wenn eine Meldung kommt ueber das ausfuehren von ein vbs script erlaube es
Im Suchfeld kopiere das folgende rein:
Browser Optimizer Dcads
Wenn etwas gefunden wird,safe log
Melde das resultat von regsearch.
Mache dasselbe mit den naechsten zwei:
Browser Optimizer Superiorads
Windows Safety Alert
Poste die Resultate in dein naechsten report.
Und jetzt werde ich erst mal gehen
__________
MfG Argus