![]() |
|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.KTWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() TR/Agent.KT Hallo Trojaner-Experten, habe seit 2 Tagen oben genannten Trojaner an Bord. AntiVir meldet ihn mir alle Nase lang, kann ihn aber offenbar nicht löschen. Habe schon probiert mit CWShredder, Stinger, EasyClean, Hijack ... Werde ihn einfach nicht los. Bin für jeden Tipp dankbar. |
![]() | #2 |
![]() ![]() ![]() | ![]() TR/Agent.KT Hi,
__________________erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This ![]()
__________________ |
![]() | #3 |
![]() | ![]() TR/Agent.KT Hi, hier ist mein HJT-logfile:
__________________Logfile of HijackThis v1.99.0 Scan saved at 17:45:46, on 16.02.2005 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\APICN32.EXE C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE C:\PROGRAMME\0900 ALARM\0900ALARM.EXE C:\PROGRAMME\FRITZ!\FRIFAX32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\ADDYT.EXE C:\WINDOWS\ADDYT.EXE C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE O4 - HKLM\..\RunServices: [ADDYT.EXE] C:\WINDOWS\ADDYT.EXE O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.154/code/PWActiveXImgCtl.CAB O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) - O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) - O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab |
![]() | #4 |
![]() ![]() ![]() | ![]() TR/Agent.KT boote in den abgesicherten Modus und fixe mit HJT folgende Einträge: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm R3 - Default URLSearchHook is missing O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.154/code/PWActiveXImgCtl.CAB lösche von Hand folgende Dateie: c:\windows\system32\blank.htm folgende Dateien hier online scannen lassen: C:\WINDOWS\SYSTEM\APICN32.EXE C:\WINDOWS\ADDYT.EXE C:\WINDOWS\SYSTEM\WINWI.DLL Ergebnis je 10 Zeilen wieder rein posten und neues HJT erstellen und hier rein ![]() |
![]() | #5 |
![]() | ![]() TR/Agent.KT Moin, moin ! 1.) Habe im abgesicherten Modus gefixt die 3 Einträge. 2.) Die Datei c:\windows\system32\blank.htm ist nicht zu finden, kann sie somit auch nicht löschen 3.) Hier die Online-scans: File: WINWI.DLL Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE-CRYPT.SQR, UPX AntiVir No viruses found (1.35 seconds taken) Avast No viruses found (3.01 seconds taken) AVG Antivirus No viruses found (1.01 seconds taken) BitDefender No viruses found (0.46 seconds taken) ClamAV No viruses found (0.59 seconds taken) Dr.Web No viruses found (0.85 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.38 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.jb (1.03 seconds taken) mks_vir No viruses found (0.23 seconds taken) NOD32 No viruses found (0.46 seconds taken) Norman Virus Control No viruses found (0.18 seconds taken) Statistics Last piece of malware found was W32/Agent.ADJ in MapleProv027.exe, detected by: Scanner Malware name Time taken AntiVir X 0.44 seconds Avast X 1.53 seconds AVG Antivirus X 0.76 seconds BitDefender Trojan.Spy.Agent.Y 0.46 seconds ClamAV X 0.93 seconds Dr.Web X 2.63 seconds F-Prot Antivirus X 0.71 seconds Fortinet X 0.39 seconds Kaspersky Anti-Virus not-a-virus:RiskWare.Monitor.Perflogger.al 1.15 seconds mks_vir Trojan.Downloader.Agent.Fz 0.25 seconds NOD32 X 0.52 seconds Norman Virus Control W32/Agent.ADJ 0.18 seconds ____________________________________________________________ File: APICN32.EXE Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE-CRYPT.SQR, UPX AntiVir TR/Dldr.Agent.bq1.B (0.36 seconds taken) Avast No viruses found (1.53 seconds taken) AVG Antivirus No viruses found (0.74 seconds taken) BitDefender No viruses found (0.65 seconds taken) ClamAV No viruses found (0.57 seconds taken) Dr.Web Trojan.Feat.2 (0.85 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.40 seconds taken) Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq (1.01 seconds taken) mks_vir W32 (probable variant) (0.22 seconds taken) NOD32 No viruses found (0.47 seconds taken) Norman Virus Control No viruses found (1.23 seconds taken) ______________________________________________________________ Zum Thema ADDYT.EXE sagt der Online-Scanner: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file _______________________________________________________________ Zum Schluss nochmal der HJT mit folgendem Ergebnis: Logfile of HijackThis v1.99.0 Scan saved at 10:07:58, on 17.02.2005 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\APICN32.EXE C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE C:\PROGRAMME\0900 ALARM\0900ALARM.EXE C:\PROGRAMME\FRITZ!\FRIFAX32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SYSEP32.EXE C:\WINDOWS\SYSTEM\SYSEP32.EXE C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE O4 - HKLM\..\RunServices: [ADDYT.EXE] C:\WINDOWS\ADDYT.EXE O4 - HKLM\..\RunServices: [CRVP32.EXE] C:\WINDOWS\SYSTEM\CRVP32.EXE O4 - HKLM\..\RunServices: [SYSEP32.EXE] C:\WINDOWS\SYSTEM\SYSEP32.EXE O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) - O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) - O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab And now ? Gruß, fasivet |
![]() | #6 |
| ![]() TR/Agent.KT Hallo, ich habe auch ein Problem mit dem RT/Agent.KT Trojaner. Hier mein Logfile von Hijack im abgesicherten Modus. Wenn ich den PC normal starte, kann ich mittlerweile leider gar nichts mehr öffnen. ![]() Danke! Logfile of HijackThis v1.99.1 Scan saved at 15:25:51, on 18.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A67AC66F-E66D-B230-07D8-8163A013AE40} - C:\WINDOWS\system32\appqa32.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [sysbo32.exe] C:\WINDOWS\system32\sysbo32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [apitt.exe] C:\WINDOWS\apitt.exe O4 - HKLM\..\Run: [29.tmp] C:\DOKUME~1\cm\LOKALE~1\Temp\29.tmp.exe 0 28129 O4 - HKLM\..\Run: [1C.tmp.exe] C:\DOKUME~1\cm\LOKALE~1\Temp\1C.tmp.exe 1 28129 O4 - HKLM\..\Run: [1C.tmp] C:\DOKUME~1\cm\LOKALE~1\Temp\1C.tmp.exe 1 28129 O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{33F13A58-69AD-47EE-B6B9-5F9769E2F94D}: NameServer = 194.25.2.129,212.185.252.73 O17 - HKLM\System\CS1\Services\Tcpip\..\{33F13A58-69AD-47EE-B6B9-5F9769E2F94D}: NameServer = 194.25.2.129,212.185.252.73 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Remote Procedure Call (RPC) Helper (%AF夶À¨) - Unknown owner - C:\WINDOWS\msdu.exe (file missing) |
![]() |
Themen zu TR/Agent.KT |
antivir, antivir meldet, cwshredder, dankbar, einfach, hijack, melde, meldet, probiert, stinger, tagen, troja |