Windows XP: TR/PSW.Agent.mrh

Hallo,

der log wäre ganz nett von Malwarebyets !
Hijckthis log schaut ganz ok aus.

 

Du hast die Zone Firewall und die Windows firewall an, überprüfe das bitte auch. 

Malwarebytes läuft noch....und ja es sind beide firewalls aktiv, hatte aber soweit nie probs das Beide laufen....

wenn du meinst, ich habe dich darauf hingewiesen das man das lassen sollte..der Rest ist dein Ding.

Malwarebytes läuft immer noch ^^

Ok, welche Firewall sollte ich Deiner Meinung nach deaktivieren bzw reicht die von Windows aus??

ZoneAlarm deinstallieren, die Windows internet Firewall reicht aus!

So hier die Auswertung von Malwarebytes:

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1616
Windows 5.1.2600 Service Pack 3

15.04.2009 15:17:22
mbam-log-2009-04-15 (15-16-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 95207
Laufzeit: 3 hour(s), 49 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 18

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\bng2.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng3.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng4.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng5.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng6.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng7.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng8.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bng9.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngA.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngB.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngC.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngD.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngE.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\bngF.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bng3.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bng7.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bng9.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Küken\Lokale Einstellungen\Temp\bngA.tmp (Trojan.Agent) -> No action taken.



Meine nächsten Schritte wären jetzt die Auswahl über Malwarebyte zu entfernen und danach Zone Alarm zu deinstallieren + Neustart.... ist dies Richtig so?? Frage lieber bevor ich wass falsch mache ^^

Grüsse

MBAM noch einmal laufen lassen

Am Ende btte auf ausgewähltes Entfernen

schritt 2

Bitte CCleaner downloaden
Installiere das Tool ohne Toolbar
Einstellungen[/color]

Starte CCleaner

• Gehe auf den Button Cleaner->dort auf Windows
  
• Überall Hakensetzen ausser Eingabefeld-Verlauf[/color]
  
• Reiter Erweitert
  Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner"
  
• Reiter Anwendungen
  Alle Häckchen setzten ausser(falls vorhanden)Mozilla FF Gespeicherte Formulardaten
  
  Anwendung[/color]
  Einstellung--> Cookies--> Cookies
  Nun die Cookies was du behalten[/color] willst mit dem Pfeil-Button in der Mitte nach rechts befördern,diese werden nicht gelöscht
  Klick auf Analysieren
  Wenn die Analyse erledigt ist bitte auf Starte CCleaner
  
  Registry-Bereinigen[/color]
  Auf den Button Einstellungen--> Erweitert
  Überprüfe ob das Häkchen bei Zeige Aufforderung für ein Backup der Registry gesetzt ist.falls nicht,bitte anhaken
  Links bitte auf Registry--> alle Häckchen setzten
  nun auf nach Fehlern suchen klicken
  Danach auf Fehler beheben klicken
  Wiederhole den Vorgang so oft,bis keine Fehler mehr gefunden werden
  
  Schritt 3
  
  start --> ausführen--> cleanmgr (reinkopieren)
  Damit wird deine Festplatte mal aufgeräumt
  
  Schritt 4
  
  Start--> ausführen--> %temp% (reinkopieren)
  Der Temp-Ordner wird nun geöffnet
  Alles löschen
  Temps die noch in Verwendung sind können nicht gelöscht werden
  
  Schritt 5
  
  Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
  
  Code: [Auswählen]
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://wa.bearshare.com/youtube/getflash.phpNun auf Fix checked klicken
  Rechner neu starten
  
  
  Nächste Antwort
  
  Logfile von Malwarebytes
  neues HJT Logfile

So, hier erstmal der erste Bericht...der 2. läuft noch ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42:59, on 15.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\RTHDCPL.EXE
C:\Programme\Boingo\Boingo Wireless Software\Boingo.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\windows\system32\ctfmon.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\WMonitor.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWEngine.exe
C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWExtUserMode.exe
F:\WOW\World of Warcraft\Launcher.exe
F:\WOW\World of Warcraft\Patches\WoW-3.0.9-to-3.1.0-deDE-Win-patch\Blizzard Updater.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Boingo Wireless Software] "C:\Programme\Boingo\Boingo Wireless Software\Boingo.exe" -Minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Boingo Wireless Engine - Unknown owner - C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\BWEngine.exe
O23 - Service: Boingo WMonitor - Boingo Wireless, Inc. - C:\Programme\Boingo\Boingo Wireless Software\WENGINE2\WMonitor.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

--
End of file - 4638 bytes
 

Und wie steht es in meiner Anleitung?? 
Wer lesen kann ist klar im vorteil

Schritt für schritt nicht das machen was am schnelleren geht!!

So funktioniert das nicht

Dachte jetzt nicht das es so schlimm ist... also nachdem der Malwarebytes log fertig ist nochmal den Hijack laufen lassen?

Ich kann jedenfalls Mozilla wieder öffnen ohne das eine Trojaner Meldung kommt, das ist doch schonmal ein gutes Zeichen, denke ich... Vielen Dank bis hierhin schonmal 

..bei 18 infizierten Dateien...

Poste Malwarebytes morgen, lasse alles über Nacht laufen... ja keine Ahnung sind 18 dateien jetzt viel oder wenig?? Und gibts Software die wirklich Sicher ist, wenn ja welche??
Was mich halt auch stutzig macht das AV nicht vorher schon gemeckert hat wenn schon länger was drauf ist... AV wird bei jedem online einloggen upgedated, scheint dann aber doch nicht Sicher genug zu sein...

Auch ein AVP erkennt nicht alles und gibt auch keines was dies kann

Die Datein was MBAM gefunden hat sind temps also nicht so kritisch aber was sich da noch alles befindet werden wir schon finden