|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.JE.2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.09.2005, 16:05 | #1 |
| TR/Agent.JE.2 Hoi, Ich habe ein eher grosses problem mit einem trojaner - laut antivir. er nennt sich wie im titel steht TR/Agent.JE.2 ... ich habe schon antivir kontaktiert und das was die mir gesagt haben klappt net ... die meinten auch das der trojaner windows ausspäht ^^ -das haben dir mir gesagt ... hab ich gemacht und klappt halt net: Bitte immer als aller erstes denn Internet update ausführen und mit der neuen VDF Scannen. Wird dieser von der aktuellen Version von AntiVir erkannt. Bitte gehen Sie nun folgendermaßen vor: 1. Deaktivieren Sie die Systemwiederherstellung (nur bei Windows ME und XP): Arbeitsplatz -> Eigenschaften -> Systemwiederherstellung -> Systemwiederherstellung deaktivieren. 2. Starten Sie Windows im abgesicherten Modus: F8-Taste im Bootvorgang bevor das Windows Logo erscheint. 3. Starten Sie nun das AntiVir Hauptprogramm und lassen Sie alle Partitionen nach allen Dateien durchsuchen. 4.Löschen Sie die Dateien, die als infiziert deklariert werden.(! Prüfen sie Sie vorher mit einer Suchmaschine) 5. Falls Sie die Meldung erhalten, dass Archivdateien infiziert sind, müssen Sie diese Dateien manuell mit Hilfe des Windows-Explorers löschen. internett Cache nicht vergessen. Vergessen sie nicht denn Internet cache und die cockis zu löschen Die Protokolldatei avwin.log leistet Ihnen hier Hilfestellung, da Sie den Pfad zur Archivdatei erkennen können. 6. Nachdem alle Viren beseitigt sind, starten Sie Windows wieder im normalen Modus und lassen Sie AntiVir erneut alle Partitionen durchsuchen. Nun dürften keine Virenfunde mehr gemeldet werden. 7. Aktivieren Sie nun wieder die Systemwiederherstellung, falls diese Funktion weiter benutzt werden soll. 8.Speicher und Cookie Bereinigungen für Microsoft sind auch notwendig! (Internet Programme-Chache -Cookies-verlauf,Start-->Programme--> Zubehör -->Systemprogramme-->Datenträger Bereinigung und Defragmentierung) ich lege euch auch nochmal ein bild hinzu damit ihr mir glaub http://www.gwebspace.de/smarschi/Vir.PNG müsst ihr vergrössern ich habe auch schon spybot und ad-aware durch lafen lassen - finden beide net ... habe auch schon mit tuneup gelöscht/überschrieben und 999 wiederholen lassen ... is immer noch da ^^ naja ich hoffe ma ihr wisst was los ist |
29.09.2005, 16:12 | #2 |
| TR/Agent.JE.2 Hallo,
__________________gehe mit dem Konto family angemeldet in den IE auf Extras>>Internetoptionen dort bei temporäre Internetdateien auf "Dateien löschen" klicken, damit sollte sich das Problem erübrigt haben. Grüße Wildone |
29.09.2005, 23:47 | #3 |
| TR/Agent.JE.2 Nein das klappt net ^^
__________________ich hab das alles jetzt im abgesichterm modus ausprobier sowie im normalem modus ... sollt ich jetzt vielleicht anfangen über ne formatierung nachzudenken oder weiss einer von euch noch was ich machen kann ? der trojaner ist im Windows verzeichnis und meldet sich erst dann wenn ich eine verbindung ins internet herstellen will oder wenn ich den taskmanager aufrufen will - wenn das was hilft ^^ |
30.09.2005, 00:23 | #4 | |
| TR/Agent.JE.2 Hallo, erst mal ganz ruhig bleiben, über ein formatieren kann man noch später nachdenken, noch sehe ich da keine Veranlassung. Zitat:
Erstelle mal ein HijackThie Logfile wie hier beschrieben und poste es hier her. Zusätzlich könntest du noch mit Escan (Anleitung genau beachten!) dein System scannen und das Ergebnis wie beschrieben posten. Grüße Wildone |
30.09.2005, 15:11 | #5 |
| TR/Agent.JE.2 C:/Windows/"LibHide.dll" - "LibHide.dll ist die betroffene datei ... zum rest kann ich erst später antworten Logfile of HijackThis v1.99.1 Scan saved at 16:16:11, on 30.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonalPremium\AVGNT.EXE C:\WINDOWS\system.exe C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE C:\Programme\AVPersonalPremium\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\ICQ\ICQLite.exe C:\Programme\Java\jre1.5.0_04\bin\javaw.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\FlashGet\flashget.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Family\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonalPremium\AVGNT.EXE" /min O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124288018140 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128012163250 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - h**p://f008.mail.lycos.de/app/uploader/FileUploader.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4587/mcfscan.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://chat.msn.com/controls/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{234EFE3E-21C9-46B6-9FF7-50E8D0CDD90B}: NameServer = 217.237.149.161 217.237.151.225 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe sry das ich das so rein schreiben musste - konnte keine datei anhängen - aus mir einem unerklärlichem grund :/ [edit] links entfernt [/edit] Geändert von GUA (30.09.2005 um 19:55 Uhr) |
30.09.2005, 18:26 | #7 |
| TR/Agent.JE.2 wenn ich den prozess beende dann fährt mein system mit meldung nach 60 sec. runter ^^ aber ich hab dann jetzt das hier (konnte von escan nichts beifügen weil mein system dabei immer abkackt) -------------------------------------------------------------- Datei: system.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Gobot-7 gefunden Dr.Web DDoS.Iojik gefunden F-Prot Antivirus unknown virus gefunden (mögliche Variante) Fortinet Multidr.JD-tr gefunden Kaspersky Anti-Virus Backdoor.Win32.Agent.oo gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden -------------------------------------------------------------- dazu hab ich andere verdächtige datein gescannt -------------------------------------------------------------- Datei: system16.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Gobot-7 gefunden Dr.Web DDoS.Iojik gefunden F-Prot Antivirus unknown virus gefunden (mögliche Variante) Fortinet Multidr.JD-tr gefunden Kaspersky Anti-Virus Backdoor.Win32.Agent.oo gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden -------------------------------------------------------------- Datei: vbstub.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Backdoor.Win32.Agent.oo gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden -------------------------------------------------------------- ich hab jetzt eine mänge gepostet könnt ihr mir schon sagen ob der trojaner gefährlich für mein system ist ? |
01.10.2005, 01:27 | #9 |
| TR/Agent.JE.2 kk hab ich jetzt und versuche mein system im auge zu behalten |
Themen zu TR/Agent.JE.2 |
abgesicherten modus, ad-aware, arbeitsplatz, bild, bootvorgang, cookie, dateien, datenträger, ellung, folge, infiziert, internet, microsoft, neue, problem, programm, prüfen, scan, spybot, starten, suchmaschine, systemwiederherstellung, trojaner, update, viren, windows |