Trojaner Agent.Jen

#1 Hallo,

nachdem ich Freitag ein wichtiges UPS-Paket versendet habe, bin ich gestern auf die gefälschten Emails hereingefallen und habe mir den Trojaner Agent.Jen auf meinen Computer geladen.

Seit heute erkennt zwar meine Panda-Software den Trojaner, der lädt sich aber irgendwie immer wieder neu. Wie kann ich diesen Trojaner endgültig losbekommen?
Vielen Dank für Eure Hilfe.

#2 Hallo, mcloew
arbeite das bitte ab und poste die logs hier
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank für die Anleitung und die Hilfen.

Ich habe alles abgearbeitet und mit PandaActiveScan vor und nacher auch einen Test scannen lassen.

Alle Ergebnisse sind unten gepostet. Was muss ich jetzt unternehmen?
Vielen Dank für Eure kompetente Unterstützung!

******
ANALYSIS: 2008-07-16 17:04:33
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 1
;******
PROTECTIONS
Description Version Active Updated
;======
Panda Titanium Antivirus 2007 6.01.00 Yes Yes
;======
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;======
00139535 Application/Processor HackTools No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Desktop\SmitfraudFix\Process.exe
03268134 Trj/Agent.JEN Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{DC5EA238-128E-40CD-B794-6582B26391C0}\RP491\A0160650.exe
03268134 Trj/Agent.JEN Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390\UPS_Lieferschein_8102\UPS_LIEFERSCHEIN_EXE.vir
;======
SUSPECTS
Sent Location
;======
No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Desktop\SmitfraudFix.exe
;======
VULNERABILITIES
Id Severity Description
_______________________________

Malwarebytes' Anti-Malware 1.21
Datenbank Version: 969
Windows 5.1.2600 Service Pack 2

16:23:51 20.07.2008
mbam-log-7-20-2008 (16-23-51).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 254392
Laufzeit: 2 hour(s), 17 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Daten\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{DC5EA238-128E-40CD-B794-6582B26391C0}\RP490\A0160543.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
E:\Datensicherungen - 1 - 21.03.08\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
E:\Datensicherungen - 2 - 14.07.08\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
E:\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully.

_____________________________________


ComboFix 08-07-19.1 - christoph.loew 2008-07-20 16:30:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.509 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system\oeminfo.ini
C:\WINDOWS\system32\userini.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 ))))))))))))))))))))))))))))))
.

2008-07-20 11:50 . 2008-07-20 11:50 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-20 11:50 . 2008-07-20 11:50 <DIR> d-------- C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Malwarebytes
2008-07-20 11:50 . 2008-07-20 11:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-20 11:50 . 2008-07-18 19:15 36,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-20 11:50 . 2008-07-18 19:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-19 13:38 . 2008-07-19 13:38 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-18 15:03 . 2008-07-19 23:23 <DIR> d-------- C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\.housecall6.6
2008-07-16 15:09 . 2008-07-16 15:09 <DIR> d-------- C:\Programme\Panda Security
2008-07-16 15:09 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-07-16 06:23 . 2008-07-16 07:17 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-07-13 11:22 . 2008-07-13 11:23 31,513 --a------ C:\WINDOWS\system32\SFP
2008-06-24 22:38 . 2004-08-03 22:58 207,360 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2008-06-24 22:38 . 2004-08-03 22:58 207,360 --a--c--- C:\WINDOWS\system32\dllcache\dot4.sys
2008-06-24 22:38 . 2001-08-18 04:26 23,936 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2008-06-24 22:38 . 2001-08-18 04:26 23,936 --a--c--- C:\WINDOWS\system32\dllcache\dot4usb.sys
2008-06-24 22:38 . 2001-08-17 13:47 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2008-06-24 22:38 . 2001-08-17 13:47 12,928 --a--c--- C:\WINDOWS\system32\dllcache\dot4prt.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 14:28 396,588 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT.bck
2008-07-20 14:28 396,588 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT
2008-07-20 14:28 1,284 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG.bck
2008-07-20 14:28 1,284 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG
2008-07-19 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-18 22:25 --------- d-----w C:\Programme\Norton Security Scan
2008-07-17 12:57 --------- d-----w C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Canon
2008-07-14 15:11 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-16 09:24 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-06-16 09:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-06-16 09:22 --------- d-----w C:\Programme\Google
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-15 08:13 17,903,056 ----a-w C:\Programme\sf47setup.exe
2008-04-14 09:12 470,438,688 ----a-w C:\Programme\PSE_6.0_WIN_TB_WEB_DE.exe
2008-03-03 13:26 518,698,733 ----a-w C:\Programme\SP9.0_3.Auflage.zip
2008-02-02 22:39 13,413,048 ----a-w C:\Programme\Google_Earth_BZXD.exe
2008-01-21 20:44 4,131,176 ----a-w C:\Programme\registrybooster2nuanceprde.exe
2008-01-10 09:01 2,566,144 ----a-w C:\Programme\NXPowerLite30_5.msi
2007-07-02 09:08 275,832,704 ----a-w C:\Programme\AcroPro80_efg.exe
2007-04-19 18:24 39,136 ----a-w C:\Programme\BFRC____.TTF
2007-04-12 15:33 21,356,544 ----a-w C:\Programme\netdesigner 2006 setup.exe
2007-04-12 14:36 2,903 ----a-w C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\mdb.bin
2007-02-22 15:00 14,843,696 ----a-w C:\Programme\IE7-WindowsXP-x86-deu.exe
2007-02-22 12:37 11,732,512 ----a-w C:\Programme\RealPlayer10-5GOLD_de.exe
2006-12-12 16:11 25,894,280 ----a-w C:\Programme\FCE_Foto-Service_Rossmann.exe
2006-12-11 21:39 3,288,670 ----a-w C:\Programme\ofps_Setup.exe
2006-11-02 17:02 24,335,464 ----a-w C:\Programme\PAV+FW_2007_ESD_GER_6.00.00.exe
2006-11-02 10:41 36,808,256 ----a-w C:\Programme\iTunesSetup.exe
2006-10-30 18:50 179,102 ----a-w C:\Programme\PINsLang.zip
2006-10-30 18:39 706,259 ----a-w C:\Programme\PINs450.zip
2006-10-23 06:07 1,212,424 ----a-w C:\Programme\profisubmit_setup.exe
2006-08-14 12:30 13,736,064 ----a-w C:\Programme\GoogleEarthWin.exe
2006-07-30 21:51 12,383,402 ----a-w C:\Programme\oc_win32_setup.exe
2006-01-13 12:07 957,465 ----a-w C:\Programme\wrar320d.exe
2006-01-12 23:46 7,849,748 ----a-w C:\Programme\winstger.exe
2006-01-12 22:30 10,411,008 ----a-w C:\Programme\gs851w32.exe
2006-01-12 16:15 1,499,168 ----a-w C:\Programme\PDF-T-Maker.zip
2005-12-09 22:44 10,609,152 ----a-w C:\Programme\CJXP35LG-Lexmark Driver.EXE
2005-12-09 16:53 23,360,376 ----a-w C:\Programme\AdbeRdr705_deu_full.exe
2005-12-09 16:44 7,241,896 ----a-w C:\Programme\psa30se_de_de.exe
2005-12-09 16:41 762,512 ----a-w C:\Programme\ytb612_efgsip.exe
2005-08-13 13:05 533,687 ----a-w C:\Programme\bworks.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-04 00:16 401491]
"DrvMon.exe"="C:\WINDOWS\system32\DrvMon.exe" [2004-09-22 10:53 53248]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 06:27 68856]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-25 15:22 5566464]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"APVXDWIN"="C:\Programme\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" [2007-09-21 11:33 329264]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 23:59 401408]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 23:59 385024]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-04 00:03 356352]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"Snappy Fax Printer Agent"="C:\Programme\Snappy Fax Version 4\sfpagent.exe" [2007-04-11 04:34 90112]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-16 11:24 185896]
"nwiz"="nwiz.exe" [2005-03-25 15:22 1495040 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 20:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-07 12:15 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Startmen�\Programme\Autostart\
klickTel Fr�hjahr 2006 - Schnellstarter.lnk - C:\Programme\klickTel\klickTel Fr�hjahr 2006\KSTART32.EXE [2006-05-29 21:38:13 440320]
Stickies.lnk - C:\Programme\stickies\stickies.exe [2004-10-26 12:02:48 348160]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-08 14:47:58 108544]
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-09-28 11:59:44 114688]
Wireless Configuration Utility HW.51.lnk - C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe [2004-12-14 20:53:38 454656]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2005-10-03 23:59 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2007-09-21 11:33 50736 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"VIDC.JDCT"= jl_jdct.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2004-05-17 16:11]
R1 APPFLT;App Filter Plugin;C:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-09-21 11:33]
R1 DSAFLT;DSA Filter Plugin;C:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-09-21 11:33]
R1 FNETMON;NetMon Filter Plugin;C:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-09-21 11:33]
R1 IDSFLT;Ids Filter Plugin;C:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-09-21 11:33]
R1 NETFLTDI;Panda Net Driver [TDI Layer];C:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-09-21 11:33]
R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-10-19 05:49]
R1 SMSFLT;SMS Filter Plugin;C:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-09-21 11:33]
R1 WNMFLT;Wifi Monitor Filter Plugin;C:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-09-21 11:33]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 01:00]
R2 cpoint;Panda CPoint Driver;C:\WINDOWS\system32\drivers\cpoint.sys [2007-09-21 11:33]
R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-10-19 05:49]
R3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys []
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2003-07-15 02:00]
R3 NETIMFLT;PANDA NDIS IM Filter Miniport;C:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-10-19 05:49]
R3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys []
R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2005-12-01 15:38]
S3 FXUSBASE;Arcor-Talk & Surf Box;C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2003-07-15 02:00]
S3 JL2005C;Dual Mode Camera;C:\WINDOWS\system32\Drivers\jl2005c.sys [2007-04-10 13:36]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []
S3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f74538-8734-11da-8db8-00150023d2c9}]
\Shell\AutoRun\command - E:\loader.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - MBAMSWISSARMY
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2008-04-03 18:45:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-07-18 20:18:41 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Arcor Online - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 16:34:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-20 16:35:41
ComboFix-quarantined-files.txt 2008-07-20 14:35:37

Pre-Run: 13 Verzeichnis(se), 23,629,574,144 Bytes frei
Post-Run: 17 Verzeichnis(se), 24,551,882,752 Bytes frei

191 --- E O F --- 2008-07-09 03:38:23

________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:20:46, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.EXE
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
c:\programme\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\ApvxdWin.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Snappy Fax Version 4\sfpagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\DrvMon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\Programme\klickTel\klickTel Frühjahr 2006\KSTART32.EXE
C:\Programme\stickies\stickies.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1.DEL\LOKALE~1\Temp\Rar$EX01.063\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Snappy Fax Printer Agent] "C:\Programme\Snappy Fax Version 4\sfpagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: klickTel Frühjahr 2006 - Schnellstarter.lnk = ?
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalvrplugin.php
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172152203796
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://uploadsoft.de/uploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://D:\AUTORUN\Flash\swflash.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{376D82B6-69BB-41D5-BC00-4A15F9143A40}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{579E6F95-24D5-4ABA-911C-D39F1A6B5773}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{376D82B6-69BB-41D5-BC00-4A15F9143A40}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{376D82B6-69BB-41D5-BC00-4A15F9143A40}: NameServer = 192.168.1.1
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.EXE
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

--
End of file - 12554 bytes

_________________________

;******
ANALYSIS: 2008-07-21 06:06:34
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;******
PROTECTIONS
Description Version Active Updated
;======
Panda Titanium Antivirus 2007 6.01.00 Yes Yes
;======
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=====
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Mozilla\Firefox\Profiles\0iiby9r1.default\cookies.txt[.doubleclick.net/]
;======
SUSPECTS
Sent Location 1
;=====
;=====
VULNERABILITIES
Id Severity Description 1
;===========

#4 Hallo, mcloew

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Folders to delete:
C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

2.
dann mache noch einen Onlinescan mit F-Secure + poste den Report
http://support.f-secure.com/ger/home/ols.shtml
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

1. Avenger.
Folder konnte nicht gelöscht werden (s. Bericht):
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390" not found!
Deletion of folder "C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


2. F-Secure Scan war erfolgreich und hat Cookie bereinigt (s. Bericht)

Scanning Report
Monday, July 21, 2008 19:42:16 - 07:31:16
Computer name: DELPHIN
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 1 malware found
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 68601
System: 4233
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\PROGRAMME\T-DSL SPEEDMANAGER\PCANDIS5.SYS

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-07-21
F-Secure AVP: 7.0.171, 2008-07-21
F-Secure Pegasus: 1.20.0, 2008-04-15
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristic

____________________________

Ist mein Rechner jetzt wieder sauber?

mfg
mcloew

#6

Zitat

Folder konnte nicht gelöscht werden

nein, die Datei war schon nicht mehr vorhanden, der Panda hat sie gelöscht, ich wollte per Avenger nur sicher gehen.
F-Secure hat auch nichts mehr gefunden, das Problem sollte also behoben sein.
Du kannst mit dem Panda noch mal im abgesicherten modus scannen.
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

hier der aktuelle Pandascan-Bericht:

;******
ANALYSIS: 2008-07-23 09:07:05
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;******
PROTECTIONS
Description Version Active Updated
;======
Panda Titanium Antivirus 2007 6.01.00 No Yes
;======
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;======
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Mozilla\Firefox\Profiles\0iiby9r1.default\cookies-1.txt[.doubleclick.net/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Cookies\christoph.loew@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Cookies\christoph.loew@bs.serving-sys[1].txt
;=======
SUSPECTS
Sent Location i
;=======
;=======
VULNERABILITIES
Id Severity Description i
;=======
;=======

________________

Warum habe ich schon wieder 3 Malewares drauf?

Ich habe Spybot aktiv und Panda Antivirus+Firewall. Was kannst Du empfehlen?

Viele Grüße,
mcloew

#8 das sind nur Cookies, nicht unbedingt Malware....
Spybot und Panda ist in Ordnung.
Wenn es noch Probleme geben sollte, melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit