WinFuture-Forum.de: Seltsamer Virus... - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Seltsamer Virus... Trojan.Win32.Agent.bqpu!A2


#1 Mitglied ist offline   pornrulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 592
  • Beigetreten: 15. März 05
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 28. Februar 2009 - 23:33

hallo
hab gerade eben bei meinem check den folgenden Trojaner gefunden: Trojan.Win32.Agent.bqpu!A2
habe des mit a-squared gefunden.
Komisch is dabei nur, dass ich die befallene Datei schon seit einiger Zeit habe, und ich mir relativ sicher bin dass es keinen Virus enthält. Außerdem hat weder antivir noch asquared jemals gemeckert wegen der Datei.

Bin grad am NOD32 runterladen, evtl hilft mir des nochmal weiter (in bezug auf sicheres finden vom Virus)
leider kann ich den Trojaner nich zu a-squared schicken... Internet sagt nur dass es sich datei ausm internet holt...

weiß jemand wie gefährlich des is?
«Und wer kann wieder sein Maul nicht halten? pornrulle!»

Eingefügtes Bild
0

Anzeige



#2 Mitglied ist offline   nobody is perfect 

  • Gruppe: VIP Mitglieder
  • Beiträge: 5.724
  • Beigetreten: 13. Oktober 06
  • Reputation: 315
  • Geschlecht:Männlich
  • Wohnort:Köln

geschrieben 28. Februar 2009 - 23:46

schau mal hier rein und mach das mal mit dem High jack


http://www.trojaner-board.de/16719-hijack-...ehen-bitte.html



möglich da du noch mehr findest ;D
0

#3 Mitglied ist offline   Übertakter 

  • Gruppe: aktive Mitglieder
  • Beiträge: 139
  • Beigetreten: 04. Januar 08
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:D:\Music\Kool Savas
  • Interessen:GFX'en ; C++ coden ; Forum und mein Laptop :)

geschrieben 01. März 2009 - 11:16

Ich schätze mal das es ein Fehlalarm ist.

- Datei hochladen auf virustotal.com und auswerten lassen.
- Online Scan mit Kaspersky
Übertakter grüßt (:
0

#4 Mitglied ist offline   pornrulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 592
  • Beigetreten: 15. März 05
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. März 2009 - 11:17

HJT bringt folgenden Log: (kenn mich überhaupt nich aus mit dem, also weiß ich nich was mir das jetzt sagt...)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:48, on 01.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Razer\Reclusa\razerhid.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Razer\Reclusa\razertra.exe
C:\Program Files\Allway Sync\Bin\syncappw.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\AeroSnap\AeroSnap.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Users\Blaini\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Reclusa] C:\Program Files\Razer\Reclusa\razerhid.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Allway Sync] "C:\Program Files\Allway Sync\Bin\syncappw.exe" -m
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [speedfan] C:\Program Files\SpeedFan\speedfan.exe
O4 - HKCU\..\Run: [AeroSnap] C:\Program Files\AeroSnap\AeroSnap.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/Game...ronGameHost.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90986545-96C3-4732-8B6C-8E6331D84EFB}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D886D15A-0E56-400D-BE3C-46FD9E39D3D4}: NameServer = 192.168.2.1
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 7430 bytes





NOD32 hat auch nix gefunden, und hab ganz vergessen zu sagen, dass ich Vista HP hab und der Defender auch nix gefunden hat.
«Und wer kann wieder sein Maul nicht halten? pornrulle!»

Eingefügtes Bild
0

#5 Mitglied ist online   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.345
  • Beigetreten: 15. Januar 06
  • Reputation: 274
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 01. März 2009 - 11:21

Zitat

HJT bringt folgenden Log: (kenn mich überhaupt nich aus mit dem, also weiß ich nich was mir das jetzt sagt...)
Fügst du HIER ein und siehst dann weiter :rolleyes:.

CODE
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
Ist zum Beispiel fragwürdig :rolleyes:.

Greets

Dieser Beitrag wurde von DanielDuesentrieb bearbeitet: 01. März 2009 - 11:22

0

#6 Mitglied ist offline   pornrulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 592
  • Beigetreten: 15. März 05
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 01. März 2009 - 11:23

ok danke schonmal :rolleyes:

mir is grad nochwas anderes aufgefallen, und zwar im topic vom rocknrollmops, da sagt jemand (weiß jetz nich mehr wers war) dass die Sidebar so gefährlich is, kann des sein?


EDIT: hab das jetz ausgewertet, und is nix ausser dem plfsetI. jetz hab ich die Besucherbewertungen angeschaut, einer sagt is seine Webcam, der andere sagt n trojaner und noch zwei geben irgendeinen link an... nich so aussage kräftig das ganze
auch google liefert nich so viele sachen, der eine sagt Trojaner sofort neu aufsetzen!! der andere sagt is in verbindung mit der webcam am acer notebook... :rolleyes: (was ich auch habe)

werde mein Sys glaub ich einfach mal neu aufsetzen, muss sowie so mal gemacht werden und sicher is sicher

Dieser Beitrag wurde von pornrulle bearbeitet: 01. März 2009 - 11:37

«Und wer kann wieder sein Maul nicht halten? pornrulle!»

Eingefügtes Bild
0

#7 Mitglied ist offline   pornrulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 592
  • Beigetreten: 15. März 05
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 02. März 2009 - 18:03

Also hab jetz neu aufgesetzt aber der Eintrag von HJT bleibt nach wie vor...

denke nich dass des was schlimmes sein wird, wird wahrscheinlich die webcam sein.

Danke für die Hilfe

EDIT: hab jetz die Webcam deinstalliert und des scheint die Datei sowie der "virus" gewesen zu sein

Dieser Beitrag wurde von pornrulle bearbeitet: 06. März 2009 - 17:34

«Und wer kann wieder sein Maul nicht halten? pornrulle!»

Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0