Trojaner eingefangen, Datei bekannt, wie löschen?

#1 Hi,

ich hab mir grad nen Trojaner eingefangen, weiß auch über welche Datei, war n bisschen vorschnell mit dem anklicken -.-
Eigentlich son richtig dummer Trick mit ner *.exe die das Icon von nem Ordner hat, aber wie gesagt, hab nicht aufgepasst.

Also ich weiß ganz genau von welcher Datei der Trojaner kam, hab diese auchschon gescannt, Virustotal Log:

a-squared 4.5.0.24 2009.08.11 Trojan-PWS.Win32.Agent!IK
AhnLab-V3 5.0.0.2 2009.08.11 Win-Trojan/Agent.41984.KC
AntiVir 7.9.0.248 2009.08.11 TR/Spy.Agent.cccr
Antiy-AVL 2.0.3.7 2009.08.11 -
Authentium 5.1.2.4 2009.08.11 W32/Dropper.AHHS
Avast 4.8.1335.0 2009.08.10 Win32:Spyware-gen
AVG 8.5.0.406 2009.08.11 Dropper.Agent.MGQ
BitDefender 7.2 2009.08.11 Trojan.Generic.1625648
CAT-QuickHeal 10.00 2009.08.11 Trojan.Agent.cccr
ClamAV 0.94.1 2009.08.11 Trojan.Agent-117106
Comodo 1942 2009.08.11 -
DrWeb 5.0.0.12182 2009.08.11 Trojan.Siggen.2245
eSafe 7.0.17.0 2009.08.10 -
eTrust-Vet 31.6.6672 2009.08.11 -
F-Prot 4.4.4.56 2009.08.10 W32/Dropper.AHHS
F-Secure 8.0.14470.0 2009.08.11 Trojan.Win32.Agent.cccr
Fortinet 3.120.0.0 2009.08.11 -
GData 19 2009.08.11 Trojan.Generic.1625648
Ikarus T3.1.1.64.0 2009.08.11 Trojan-PWS.Win32.Agent
Jiangmin 11.0.800 2009.08.11 Trojan/Agent.cjgh
K7AntiVirus 7.10.816 2009.08.11 -
Kaspersky 7.0.0.125 2009.08.11 Trojan.Win32.Agent.cccr
McAfee 5705 2009.08.10 Spy-Agent.ef
McAfee+Artemis 5705 2009.08.10 Spy-Agent.ef
McAfee-GW-Edition 6.8.5 2009.08.11 Heuristic.BehavesLike.Win32.Downloader.L
Microsoft 1.4903 2009.08.11 TrojanSpy:Win32/Agent
NOD32 4325 2009.08.11 Win32/PSW.Agent.NLY
Norman 6.01.09 2009.08.11 W32/Agent.MOYL
nProtect 2009.1.8.0 2009.08.11 Trojan/W32.Agent.41984.DH
Panda 10.0.0.14 2009.08.10 Trj/Downloader.MDW
PCTools 4.4.2.0 2009.08.11 -
Prevx 3.0 2009.08.11 Medium Risk Malware
Rising 21.42.14.00 2009.08.11 -
Sophos 4.44.0 2009.08.11 Mal/Generic-E
Sunbelt 3.2.1858.2 2009.08.11 -
Symantec 1.4.4.12 2009.08.11 -
TheHacker 6.3.4.3.380 2009.08.11 Trojan/Agent.cccr
TrendMicro 8.950.0.1094 2009.08.11 -
VBA32 3.12.10.9 2009.08.10 Trojan-Dropper.Win32.Resgen
ViRobot 2009.8.11.1879 2009.08.11 Trojan.Win32.Agent.41984.AL
VirusBuster 4.6.5.0 2009.08.10 -

So. Kann ich jetzt irgendwie möglichst schnell und genau erkennen wo sich der Trojaner eingenistet hat und den gezielt wieder loswerden oder führt kein Weg an nem kompletten Scan vorbei?

Danke im Vorraus,
SagaTious

#2 Fang einfach mal damit an: http://board.protecus.de/t23188.htm
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Ok. Sorry.

HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:40, on 11.08.2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
F:\Programme\DAEMON Tools Lite\daemon.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
F:\Programme\Stardock\ObjectDock\ObjectDock.exe
F:\Programme\OpenOffice.org 3\program\soffice.exe
F:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\GIGABYTE\ET6\GUI.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
F:\Programme\Firefox 3\firefox.exe
F:\Programme\Teamspeak2_RC2\TeamSpeak.exe
F:\Programme\Trillian\trillian.exe
F:\Programme\McAfee\Common Framework\UdaterUI.exe
F:\Programme\Malwarebytes' Anti-Malware\mbam.exe
F:\Programme\Trend Micro\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2055800
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: P2P Max DE Toolbar - {e0007d18-baa4-4573-ae78-8bea0958c610} - C:\Program Files (x86)\P2P_Max_DE\tbP2P_.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - F:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: P2P Max DE Toolbar - {e0007d18-baa4-4573-ae78-8bea0958c610} - C:\Program Files (x86)\P2P_Max_DE\tbP2P_.dll
O3 - Toolbar: P2P Max DE Toolbar - {e0007d18-baa4-4573-ae78-8bea0958c610} - C:\Program Files (x86)\P2P_Max_DE\tbP2P_.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [EasyTuneVI] C:\Program Files (x86)\GIGABYTE\ET6\ETcall.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "F:\Programme\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "F:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] F:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 3.1.lnk = F:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Stardock ObjectDock.lnk = F:\Programme\Stardock\ObjectDock\ObjectDock.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - F:\Programme\McAfee\VirusScan Enterprise\x64\EngineServer.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - McAfee, Inc. - F:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - F:\Programme\McAfee\VirusScan Enterprise\x64\McShield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - F:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - Unknown owner - C:\Windows\system32\mfevtps.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TunngleService - Tunngle.net GmbH - F:\Programme\Tunngle\TnglCtrl.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8323 bytes

Malwarebytes Logfile:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2601
Windows 6.1.7100

11.08.2009 16:38:36
mbam-log-2009-08-11 (16-38-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 75386
Laufzeit: 4 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#4 gmer währe noch interessant

#5 Ich schätze, Du hast Glück

Nur wenige bösartige Programme funktionieren unter Windows 7 x64.

Du könntest nochmal mit Deinem Virenscanner (auch wenn McAfee einer der schlechteren ist) Dein System durchsuchen, die Gefahr ist aber relativ gering, dass sich die Malware eingenistet hat. Aber Du solltest Dein System auf ungewöhnliches Verhalten beobachten.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 Ok danke. Ich werd auf jedenfall nochmal nen Suchlauf starten, aber wenn win7x64 (noch) sicher ist, is das ja schonmal gut