Forum
Tipps
News
Menu-Icon

Windows XP: TR/PSW.Agent.mrh

Hallo, auch bei mir hat sich wohl ein trojaner eingeschlichen... hier mein hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:41, on 15.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\windows\RTHDCPL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Boingo\Boingo Wireless Software\Boingo.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\windows\system32\ctfmon.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\WMonitor.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWEngine.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWExtUserMode.exe
C:\Programme\Java\jre6\bin\jucheck.exe
F:\WOW\World of Warcraft\Patches\WoW-3.0.9-to-3.1.0-deDE-Win-patch\Blizzard Updater.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://wa.bearshare.com/youtube/getflash.php
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] 'C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe'
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] 'C:\Programme\Java\jre6\bin\jusched.exe'
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Boingo Wireless Software] 'C:\Programme\Boingo\Boingo Wireless Software\Boingo.exe' -Minimized
O4 - HKLM\..\Run: [avgnt] 'C:\Programme\Avira\AntiVir Desktop\avgnt.exe' /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Boingo Wireless Engine - Unknown owner - C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWEngine.exe
O23 - Service: Boingo WMonitor - Boingo Wireless, Inc. - C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\WMonitor.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5551 bytes


Habe Malwarebytes laufen, aber kann mir schon jemand sagen ob ich Hoffnung habe nicht formatieren zu müssen?





Mein Computer-System:
   
Mein PC ist etwa 3-4 Jahre alt.


Auftretende Fehlermeldung:

Ich erhalte eine Fehlermeldung beim Starten eines Programmes. ()
Die Fehlermeldung lautet: TR/PSW.Agent.mrh kam über Antivir beim Starten von Mozilla Firefox

Grüsse



Antworten zu Windows XP: TR/PSW.Agent.mrh:

Hallo,

der log wäre ganz nett von Malwarebyets !
Hijckthis log schaut ganz ok aus.

 

Du hast die Zone Firewall und die Windows firewall an, überprüfe das bitte auch. 

« Letzte Änderung: 15.04.09, 17:29:19 von copy »

Malwarebytes läuft noch....und ja es sind beide firewalls aktiv, hatte aber soweit nie probs das Beide laufen....

wenn du meinst, ich habe dich darauf hingewiesen das man das lassen sollte..der Rest ist dein Ding.

Malwarebytes läuft immer noch ^^

Ok, welche Firewall sollte ich Deiner Meinung nach deaktivieren bzw reicht die von Windows aus??

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ZoneAlarm deinstallieren, die Windows internet Firewall reicht aus!

So hier die Auswertung von Malwarebytes:

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

15.04.2009 15:17:22
mbam-log-2009-04-15 (15-16-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 95207
Laufzeit: 3 hour(s), 49 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 18

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\bng2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng9.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngA.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngB.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngC.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngD.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngE.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngF.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bng3.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bng7.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bng9.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bngA.tmp (Trojan.Agent) -> No action taken.



Meine nächsten Schritte wären jetzt die Auswahl über Malwarebyte zu entfernen und danach Zone Alarm zu deinstallieren + Neustart.... ist dies Richtig so?? Frage lieber bevor ich wass falsch mache ^^

Grüsse

MBAM noch einmal laufen lassen

Am Ende btte auf ausgewähltes Entfernen

schritt 2

Bitte CCleaner downloaden
Installiere das Tool ohne Toolbar
Einstellungen[/color]

    Starte CCleaner
  • Gehe auf den Button Cleaner->dort auf Windows
  • Überall Hakensetzen ausser Eingabefeld-Verlauf[/color]
  • Reiter Erweitert
    Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner"
  • Reiter Anwendungen
    Alle Häckchen setzten ausser(falls vorhanden)Mozilla FF Gespeicherte Formulardaten

    Anwendung[/color]
    Einstellung--> Cookies--> Cookies
    Nun die Cookies was du behalten[/color] willst mit dem Pfeil-Button in der Mitte nach rechts befördern,diese werden nicht gelöscht
    Klick auf Analysieren
    Wenn die Analyse erledigt ist bitte auf Starte CCleaner

    Registry-Bereinigen[/color]
    Auf den Button Einstellungen--> Erweitert
    Überprüfe ob das Häkchen bei Zeige Aufforderung für ein Backup der Registry gesetzt ist.falls nicht,bitte anhaken
    Links bitte auf Registry--> alle Häckchen setzten
    nun auf nach Fehlern suchen klicken
    Danach auf Fehler beheben klicken
    Wiederhole den Vorgang so oft,bis keine Fehler mehr gefunden werden

    Schritt 3

    start --> ausführen--> cleanmgr (reinkopieren)
    Damit wird deine Festplatte mal aufgeräumt

    Schritt 4

    Start--> ausführen--> %temp% (reinkopieren)
    Der Temp-Ordner wird nun geöffnet
    Alles löschen
    Temps die noch in Verwendung sind können nicht gelöscht werden

    Schritt 5

    Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://wa.bearshare.com/youtube/getflash.php
    Nun auf Fix checked klicken
    Rechner neu starten


    Nächste Antwort

    Logfile von Malwarebytes
    neues HJT Logfile

So, hier erstmal der erste Bericht...der 2. läuft noch ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42:59, on 15.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\RTHDCPL.EXE
C:\Programme\Boingo\Boingo Wireless Software\Boingo.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\WMonitor.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWEngine.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWExtUserMode.exe
F:\WOW\World of Warcraft\Launcher.exe
F:\WOW\World of Warcraft\Patches\WoW-3.0.9-to-3.1.0-deDE-Win-patch\Blizzard Updater.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Boingo Wireless Software] "C:\Programme\Boingo\Boingo Wireless Software\Boingo.exe" -Minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Boingo Wireless Engine - Unknown owner - C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWEngine.exe
O23 - Service: Boingo WMonitor - Boingo Wireless, Inc. - C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\WMonitor.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

--
End of file - 4638 bytes
 

Und wie steht es in meiner Anleitung??  >:(
Wer lesen kann ist klar im vorteil

Schritt für schritt nicht das machen was am schnelleren geht!!

So funktioniert das nicht

Dachte jetzt nicht das es so schlimm ist... also nachdem der Malwarebytes log fertig ist nochmal den Hijack laufen lassen?

Ich kann jedenfalls Mozilla wieder öffnen ohne das eine Trojaner Meldung kommt, das ist doch schonmal ein gutes Zeichen, denke ich... Vielen Dank bis hierhin schonmal  ;)

..bei 18 infizierten Dateien...

Poste Malwarebytes morgen, lasse alles über Nacht laufen... ja keine Ahnung sind 18 dateien jetzt viel oder wenig?? Und gibts Software die wirklich Sicher ist, wenn ja welche??
Was mich halt auch stutzig macht das AV nicht vorher schon gemeckert hat wenn schon länger was drauf ist... AV wird bei jedem online einloggen upgedated, scheint dann aber doch nicht Sicher genug zu sein...

Auch ein AVP erkennt nicht alles und gibt auch keines was dies kann ;)

Die Datein was MBAM gefunden hat sind temps also nicht so kritisch aber was sich da noch alles befindet werden wir schon finden ;)


« Pc schaltet sich selbstständig aus!Windows Vista: Unaufgefordert erscheint ein 'DFÜ-Wahlverbindungs-Fenster' »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Micro SD
  Die Micro-SD-Karte ist die zur Zeit (von der physischen Karten-Größe) kleinste verfügbare Flash-Speicherkarte auf dem Markt. Sie wird unter ande...

Micro SIM
Eine Micro SIM ist eine kleine SIM-Karte, die für Smartphones und Tablets gebraucht wird. Auch herkömmliche SIM-Karten kann man für solche Endprodukte verw...