Trojaner Agent.Jen |
||
---|---|---|
#0
| ||
15.07.2008, 06:43
...neu hier
Beiträge: 4 |
||
|
||
15.07.2008, 11:57
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo, mcloew
arbeite das bitte ab und poste die logs hier http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.07.2008, 06:48
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
vielen Dank für die Anleitung und die Hilfen. Ich habe alles abgearbeitet und mit PandaActiveScan vor und nacher auch einen Test scannen lassen. Alle Ergebnisse sind unten gepostet. Was muss ich jetzt unternehmen? Vielen Dank für Eure kompetente Unterstützung! ****** ANALYSIS: 2008-07-16 17:04:33 PROTECTIONS: 1 MALWARE: 2 SUSPECTS: 1 ;****** PROTECTIONS Description Version Active Updated ;====== Panda Titanium Antivirus 2007 6.01.00 Yes Yes ;====== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;====== 00139535 Application/Processor HackTools No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Desktop\SmitfraudFix\Process.exe 03268134 Trj/Agent.JEN Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{DC5EA238-128E-40CD-B794-6582B26391C0}\RP491\A0160650.exe 03268134 Trj/Agent.JEN Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390\UPS_Lieferschein_8102\UPS_LIEFERSCHEIN_EXE.vir ;====== SUSPECTS Sent Location ;====== No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Desktop\SmitfraudFix.exe ;====== VULNERABILITIES Id Severity Description _______________________________ Malwarebytes' Anti-Malware 1.21 Datenbank Version: 969 Windows 5.1.2600 Service Pack 2 16:23:51 20.07.2008 mbam-log-7-20-2008 (16-23-51).txt Scan-Methode: Vollständiger Scan (C:\|E:\|) Durchsuchte Objekte: 254392 Laufzeit: 2 hour(s), 17 minute(s), 45 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Daten\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully. E:\System Volume Information\_restore{DC5EA238-128E-40CD-B794-6582B26391C0}\RP490\A0160543.EXE (Rogue.Installer) -> Quarantined and deleted successfully. E:\Datensicherungen - 1 - 21.03.08\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully. E:\Datensicherungen - 2 - 14.07.08\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully. E:\USB-Stick 256\Programme\IVIEW.EXE (Rogue.Installer) -> Quarantined and deleted successfully. C:\Install (Rogue.Multiple) -> Quarantined and deleted successfully. _____________________________________ ComboFix 08-07-19.1 - christoph.loew 2008-07-20 16:30:21.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.509 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system\oeminfo.ini C:\WINDOWS\system32\userini.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 )))))))))))))))))))))))))))))) . 2008-07-20 11:50 . 2008-07-20 11:50 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-20 11:50 . 2008-07-20 11:50 <DIR> d-------- C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Malwarebytes 2008-07-20 11:50 . 2008-07-20 11:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-20 11:50 . 2008-07-18 19:15 36,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-20 11:50 . 2008-07-18 19:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-19 13:38 . 2008-07-19 13:38 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-07-18 15:03 . 2008-07-19 23:23 <DIR> d-------- C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\.housecall6.6 2008-07-16 15:09 . 2008-07-16 15:09 <DIR> d-------- C:\Programme\Panda Security 2008-07-16 15:09 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-07-16 06:23 . 2008-07-16 07:17 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-07-13 11:22 . 2008-07-13 11:23 31,513 --a------ C:\WINDOWS\system32\SFP 2008-06-24 22:38 . 2004-08-03 22:58 207,360 --a------ C:\WINDOWS\system32\drivers\Dot4.sys 2008-06-24 22:38 . 2004-08-03 22:58 207,360 --a--c--- C:\WINDOWS\system32\dllcache\dot4.sys 2008-06-24 22:38 . 2001-08-18 04:26 23,936 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys 2008-06-24 22:38 . 2001-08-18 04:26 23,936 --a--c--- C:\WINDOWS\system32\dllcache\dot4usb.sys 2008-06-24 22:38 . 2001-08-17 13:47 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys 2008-06-24 22:38 . 2001-08-17 13:47 12,928 --a--c--- C:\WINDOWS\system32\dllcache\dot4prt.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-20 14:28 396,588 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT.bck 2008-07-20 14:28 396,588 ----a-w C:\WINDOWS\system32\drivers\APPFCONT.DAT 2008-07-20 14:28 1,284 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG.bck 2008-07-20 14:28 1,284 ----a-w C:\WINDOWS\system32\drivers\APPFLTR.CFG 2008-07-19 11:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-07-18 22:25 --------- d-----w C:\Programme\Norton Security Scan 2008-07-17 12:57 --------- d-----w C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Canon 2008-07-14 15:11 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-16 09:24 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared 2008-06-16 09:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2008-06-16 09:22 --------- d-----w C:\Programme\Google 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-15 08:13 17,903,056 ----a-w C:\Programme\sf47setup.exe 2008-04-14 09:12 470,438,688 ----a-w C:\Programme\PSE_6.0_WIN_TB_WEB_DE.exe 2008-03-03 13:26 518,698,733 ----a-w C:\Programme\SP9.0_3.Auflage.zip 2008-02-02 22:39 13,413,048 ----a-w C:\Programme\Google_Earth_BZXD.exe 2008-01-21 20:44 4,131,176 ----a-w C:\Programme\registrybooster2nuanceprde.exe 2008-01-10 09:01 2,566,144 ----a-w C:\Programme\NXPowerLite30_5.msi 2007-07-02 09:08 275,832,704 ----a-w C:\Programme\AcroPro80_efg.exe 2007-04-19 18:24 39,136 ----a-w C:\Programme\BFRC____.TTF 2007-04-12 15:33 21,356,544 ----a-w C:\Programme\netdesigner 2006 setup.exe 2007-04-12 14:36 2,903 ----a-w C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\mdb.bin 2007-02-22 15:00 14,843,696 ----a-w C:\Programme\IE7-WindowsXP-x86-deu.exe 2007-02-22 12:37 11,732,512 ----a-w C:\Programme\RealPlayer10-5GOLD_de.exe 2006-12-12 16:11 25,894,280 ----a-w C:\Programme\FCE_Foto-Service_Rossmann.exe 2006-12-11 21:39 3,288,670 ----a-w C:\Programme\ofps_Setup.exe 2006-11-02 17:02 24,335,464 ----a-w C:\Programme\PAV+FW_2007_ESD_GER_6.00.00.exe 2006-11-02 10:41 36,808,256 ----a-w C:\Programme\iTunesSetup.exe 2006-10-30 18:50 179,102 ----a-w C:\Programme\PINsLang.zip 2006-10-30 18:39 706,259 ----a-w C:\Programme\PINs450.zip 2006-10-23 06:07 1,212,424 ----a-w C:\Programme\profisubmit_setup.exe 2006-08-14 12:30 13,736,064 ----a-w C:\Programme\GoogleEarthWin.exe 2006-07-30 21:51 12,383,402 ----a-w C:\Programme\oc_win32_setup.exe 2006-01-13 12:07 957,465 ----a-w C:\Programme\wrar320d.exe 2006-01-12 23:46 7,849,748 ----a-w C:\Programme\winstger.exe 2006-01-12 22:30 10,411,008 ----a-w C:\Programme\gs851w32.exe 2006-01-12 16:15 1,499,168 ----a-w C:\Programme\PDF-T-Maker.zip 2005-12-09 22:44 10,609,152 ----a-w C:\Programme\CJXP35LG-Lexmark Driver.EXE 2005-12-09 16:53 23,360,376 ----a-w C:\Programme\AdbeRdr705_deu_full.exe 2005-12-09 16:44 7,241,896 ----a-w C:\Programme\psa30se_de_de.exe 2005-12-09 16:41 762,512 ----a-w C:\Programme\ytb612_efgsip.exe 2005-08-13 13:05 533,687 ----a-w C:\Programme\bworks.zip . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-04 00:16 401491] "DrvMon.exe"="C:\WINDOWS\system32\DrvMon.exe" [2004-09-22 10:53 53248] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 06:27 68856] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-25 15:22 5566464] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "APVXDWIN"="C:\Programme\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" [2007-09-21 11:33 329264] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 23:59 401408] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 23:59 385024] "EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-04 00:03 356352] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "Snappy Fax Printer Agent"="C:\Programme\Snappy Fax Version 4\sfpagent.exe" [2007-04-11 04:34 90112] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-16 11:24 185896] "nwiz"="nwiz.exe" [2005-03-25 15:22 1495040 C:\WINDOWS\system32\nwiz.exe] "SoundMan"="SOUNDMAN.EXE" [2005-02-23 20:13 77824 C:\WINDOWS\SOUNDMAN.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-07 12:15 88363 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Startmen\Programme\Autostart\ klickTel Frhjahr 2006 - Schnellstarter.lnk - C:\Programme\klickTel\klickTel Frhjahr 2006\KSTART32.EXE [2006-05-29 21:38:13 440320] Stickies.lnk - C:\Programme\stickies\stickies.exe [2004-10-26 12:02:48 348160] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-08 14:47:58 108544] InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-09-28 11:59:44 114688] Wireless Configuration Utility HW.51.lnk - C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe [2004-12-14 20:53:38 454656] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoViewOnDrive"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2005-10-03 23:59 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr] 2007-09-21 11:33 50736 C:\WINDOWS\system32\avldr.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "VIDC.JDCT"= jl_jdct.drv [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2004-05-17 16:11] R1 APPFLT;App Filter Plugin;C:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-09-21 11:33] R1 DSAFLT;DSA Filter Plugin;C:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-09-21 11:33] R1 FNETMON;NetMon Filter Plugin;C:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-09-21 11:33] R1 IDSFLT;Ids Filter Plugin;C:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-09-21 11:33] R1 NETFLTDI;Panda Net Driver [TDI Layer];C:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-09-21 11:33] R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-10-19 05:49] R1 SMSFLT;SMS Filter Plugin;C:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-09-21 11:33] R1 WNMFLT;Wifi Monitor Filter Plugin;C:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-09-21 11:33] R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2001-10-23 01:00] R2 cpoint;Panda CPoint Driver;C:\WINDOWS\system32\drivers\cpoint.sys [2007-09-21 11:33] R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-10-19 05:49] R3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys [] R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2003-07-15 02:00] R3 NETIMFLT;PANDA NDIS IM Filter Miniport;C:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-10-19 05:49] R3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys [] R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2005-12-01 15:38] S3 FXUSBASE;Arcor-Talk & Surf Box;C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2003-07-15 02:00] S3 JL2005C;Dual Mode Camera;C:\WINDOWS\system32\Drivers\jl2005c.sys [2007-04-10 13:36] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [] S3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f74538-8734-11da-8db8-00150023d2c9}] \Shell\AutoRun\command - E:\loader.exe *Newly Created Service* - CATCHME *Newly Created Service* - MBAMSWISSARMY *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners "2008-04-03 18:45:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-07-18 20:18:41 C:\WINDOWS\Tasks\Norton Security Scan.job" - C:\Programme\Norton Security Scan\Nss.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-Arcor Online - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-20 16:34:35 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-07-20 16:35:41 ComboFix-quarantined-files.txt 2008-07-20 14:35:37 Pre-Run: 13 Verzeichnis(se), 23,629,574,144 Bytes frei Post-Run: 17 Verzeichnis(se), 24,551,882,752 Bytes frei 191 --- E O F --- 2008-07-09 03:38:23 ________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 06:20:46, on 21.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe c:\programme\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2005\ApvxdWin.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Snappy Fax Version 4\sfpagent.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\DrvMon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe C:\Programme\klickTel\klickTel Frühjahr 2006\KSTART32.EXE C:\Programme\stickies\stickies.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\CHRIST~1.DEL\LOKALE~1\Temp\Rar$EX01.063\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Snappy Fax Printer Agent] "C:\Programme\Snappy Fax Version 4\sfpagent.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: klickTel Frühjahr 2006 - Schnellstarter.lnk = ? O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVR Control) - http://www.devalvr.com/instalacion/plugin/devalvrplugin.php O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172152203796 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://uploadsoft.de/uploader/ImageUploader4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://D:\AUTORUN\Flash\swflash.cab O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{376D82B6-69BB-41D5-BC00-4A15F9143A40}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{579E6F95-24D5-4ABA-911C-D39F1A6B5773}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{376D82B6-69BB-41D5-BC00-4A15F9143A40}: NameServer = 192.168.1.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{376D82B6-69BB-41D5-BC00-4A15F9143A40}: NameServer = 192.168.1.1 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PsCtrls.EXE O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda software\panda titanium antivirus 2005\firewall\PSHOST.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\psimsvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Titanium Antivirus 2005\TPSrv.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe -- End of file - 12554 bytes _________________________ ;****** ANALYSIS: 2008-07-21 06:06:34 PROTECTIONS: 1 MALWARE: 1 SUSPECTS: 0 ;****** PROTECTIONS Description Version Active Updated ;====== Panda Titanium Antivirus 2007 6.01.00 Yes Yes ;====== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Mozilla\Firefox\Profiles\0iiby9r1.default\cookies.txt[.doubleclick.net/] ;====== SUSPECTS Sent Location 1 ;===== ;===== VULNERABILITIES Id Severity Description 1 ;=========== |
|
|
||
21.07.2008, 11:32
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo, mcloew
1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Folders to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" 2. dann mache noch einen Onlinescan mit F-Secure + poste den Report http://support.f-secure.com/ger/home/ols.shtml __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.07.2008 um 13:29 Uhr von Sabina editiert.
|
|
|
||
22.07.2008, 07:44
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo Sabina,
1. Avenger. Folder konnte nicht gelöscht werden (s. Bericht): Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390" not found! Deletion of folder "C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Lokale Einstellungen\Temp\Rar$EX00.390" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. 2. F-Secure Scan war erfolgreich und hat Cookie bereinigt (s. Bericht) Scanning Report Monday, July 21, 2008 19:42:16 - 07:31:16 Computer name: DELPHIN Scanning type: Scan system for malware, rootkits Target: C:\ -------------------------------------------------------------------------------- Result: 1 malware found Tracking Cookie (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 68601 System: 4233 Not scanned: 7 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 1 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\PROGRAMME\T-DSL SPEEDMANAGER\PCANDIS5.SYS -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Hydra: 2.8.8110, 2008-07-21 F-Secure AVP: 7.0.171, 2008-07-21 F-Secure Pegasus: 1.20.0, 2008-04-15 F-Secure Blacklight: 1.0.68 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristic ____________________________ Ist mein Rechner jetzt wieder sauber? mfg mcloew |
|
|
||
22.07.2008, 13:02
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat Folder konnte nicht gelöscht werdennein, die Datei war schon nicht mehr vorhanden, der Panda hat sie gelöscht, ich wollte per Avenger nur sicher gehen. F-Secure hat auch nichts mehr gefunden, das Problem sollte also behoben sein. Du kannst mit dem Panda noch mal im abgesicherten modus scannen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.07.2008, 09:15
...neu hier
Themenstarter Beiträge: 4 |
#7
Hallo Sabina,
hier der aktuelle Pandascan-Bericht: ;****** ANALYSIS: 2008-07-23 09:07:05 PROTECTIONS: 1 MALWARE: 3 SUSPECTS: 0 ;****** PROTECTIONS Description Version Active Updated ;====== Panda Titanium Antivirus 2007 6.01.00 No Yes ;====== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;====== 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Anwendungsdaten\Mozilla\Firefox\Profiles\0iiby9r1.default\cookies-1.txt[.doubleclick.net/] 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Cookies\christoph.loew@serving-sys[1].txt 00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\christoph.loew.DELPHIN\Cookies\christoph.loew@bs.serving-sys[1].txt ;======= SUSPECTS Sent Location i ;======= ;======= VULNERABILITIES Id Severity Description i ;======= ;======= ________________ Warum habe ich schon wieder 3 Malewares drauf? Ich habe Spybot aktiv und Panda Antivirus+Firewall. Was kannst Du empfehlen? Viele Grüße, mcloew |
|
|
||
23.07.2008, 10:47
Ehrenmitglied
Beiträge: 29434 |
#8
das sind nur Cookies, nicht unbedingt Malware....
Spybot und Panda ist in Ordnung. Wenn es noch Probleme geben sollte, melde dich. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
nachdem ich Freitag ein wichtiges UPS-Paket versendet habe, bin ich gestern auf die gefälschten Emails hereingefallen und habe mir den Trojaner Agent.Jen auf meinen Computer geladen.
Seit heute erkennt zwar meine Panda-Software den Trojaner, der lädt sich aber irgendwie immer wieder neu. Wie kann ich diesen Trojaner endgültig losbekommen?
Vielen Dank für Eure Hilfe.