Habe einen Trojaner, kann ihn aber nicht löschen!

TiMSTA · 09.04.2007, 15:43

Hallo,
ich habe Windows Vista Ultimate und die Kaspersky Internet Security 6.0 und die sagt mir, dass ich einen Trojaner habe, den er aber nicht löschen kann und, dass ich ihn selbst löschen soll.

Der Trojaner heißt: Trojan.Win32.Agent.acw

Hier der HiJackThis-Log:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

undoreal · 09.04.2007, 16:02

Hallo.

Vista ist Neuland d.h. würde ich an deiner Stelle den Kaspersky Support nutzen. Das Forum ist sehr gut und liefert fast immer Lösungen. Wundert mich eh, dass Kis ihn nicht löscht. Schon mal im abgesicherten Modus einen kompletten scan auf höchster Sicherheitsstufe gemacht?

Dann solltest du einen eScan machen. Anleitung ist in meiner Signatur verlinkt. Allerdings muss ich gestehen, dass ich garnicht weiss wie zuverlässig MWAVE auf Vista arbeitet..

mfg

Undoreal

TiMSTA · 09.04.2007, 16:06

Hi,
danke erstmal.
Ich benutze jetzt erstmal den eScan und wenn der nicht hilft, dann im Abgesicherten. Erst KIS und dann nochmal eScan.
Ich habe mein komplettes KIS auf höchster Sicherheitsstufe

cosinus · 09.04.2007, 16:39

Wenn du eine Meldung vom Virenscanner hast, wäre es auch sehr sinnvoll zu posten, in welchem Pfad sich der Schädling befindet.
HJT 1.99.1 ist schon etwas angegraut, besorg dir doch mal die neuere Version und poste davon ein Logfile.

TiMSTA · 09.04.2007, 16:43

Der Scanner schlägt nur manchmal an - wenn er nochmal anschlägt, dann schreibe ich den Pfad, aber ich weiß, dass es auf C: ist.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:42:00, on 09.04.2007
Platform: Windows Vista (WinNT 6.00.1904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
F:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
F:\Programme\Mozilla Thunderbird\thunderbird.exe
F:\Programme\Globe Software\StatBar\StatBar.exe
C:\Windows\system32\wbem\unsecapp.exe
F:\Programme\Miranda IM\miranda32.exe
C:\Windows\System32\mobsync.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\WinRAR\WinRAR.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\conime.exe
D:\eMule\emule.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Tim\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [AVP] "F:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [Mozilla Thunderbird] F:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - HKCU\..\Run: [PCTAVApp] "F:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: StatBar.lnk = F:\Programme\Globe Software\StatBar\StatBar.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - F:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_13\bin\npjpi142_13.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_13\bin\npjpi142_13.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O20 - AppInit_DLLs: F:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,F:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - F:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

--
End of file - 4291 bytes

cosinus · 09.04.2007, 16:58

Ein paar merwürdige Dateien hab ich da gesehen, lass die vorsichtshalber mal bitte bei Jotti bzw. Virustotal checken und poste sämtliche Ergebnisse:

C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe

TiMSTA · 09.04.2007, 17:32

Zitat:

Zitat von cosinus

C:\Windows\system32\PnkBstrB.exe

Datei: PnkBstrB.exe
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

Die andere Datei ist harmlos.

cosinus · 09.04.2007, 18:06

Ähm, das hat nicht zufällig was mit "Punkbuster" zu tun?

TiMSTA · 09.04.2007, 23:24

Würde ich auch sagen, aber hier ist die Log-Datei von eScan, also von der find.bat-Datei:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows [Version 6.0.6000]
Mon Apr 09 23:48:25 2007 => Version 9.1.9
Mon Apr 09 23:47:17 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 23:48:14 2007 => Virus-Datenbank Datum: 4/9/2007
Tue Apr 10 00:22:08 2007 => Virus-Datenbank Datum: 4/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 09 23:48:55 2007 => Datei F:\Programme\RealVNC\VNC4\WinVNC4.exe markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.4. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 09 23:48:58 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Apr 09 23:48:58 2007 => Offending Key found: HKCU\\magnet !!!
Mon Apr 09 23:49:13 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2fddf9f9-e37f-1242-9a6d-806e6f6e6963} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Apr 10 00:22:08 2007 => Gefundene Viren: 4
Tue Apr 10 00:22:08 2007 => Anzahl Fehler: 23
Tue Apr 10 00:22:08 2007 => Dauer des Scans bisher: 00:31:03
Tue Apr 10 00:22:08 2007 => Gescannte Dateien: 70079
Mon Apr 09 23:48:25 2007 => Specherüberprüfung: Aktiviert
Mon Apr 09 23:48:25 2007 => Registry Überprüfung: Aktiviert
Mon Apr 09 23:48:25 2007 => System-Ordner Überprüfung: Aktiviert
Mon Apr 09 23:48:25 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 09 23:48:25 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 09 23:48:25 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 09 23:48:25 2007 => Überprüfung aller Festplatten :Aktiviert

09.04.2007, 16:39	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Habe einen Trojaner, kann ihn aber nicht löschen! Wenn du eine Meldung vom Virenscanner hast, wäre es auch sehr sinnvoll zu posten, in welchem Pfad sich der Schädling befindet. HJT 1.99.1 ist schon etwas angegraut, besorg dir doch mal die neuere Version und poste davon ein Logfile. __________________ Logfiles bitte immer in CODE-Tags posten

09.04.2007, 16:58	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Habe einen Trojaner, kann ihn aber nicht löschen! Ein paar merwürdige Dateien hab ich da gesehen, lass die vorsichtshalber mal bitte bei Jotti bzw. Virustotal checken und poste sämtliche Ergebnisse: C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\PnkBstrB.exe __________________ --> Habe einen Trojaner, kann ihn aber nicht löschen!

09.04.2007, 18:06	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Habe einen Trojaner, kann ihn aber nicht löschen! Ähm, das hat nicht zufällig was mit "Punkbuster" zu tun? __________________ Logfiles bitte immer in CODE-Tags posten

Habe einen Trojaner, kann ihn aber nicht löschen!

Log-Analyse und Auswertung: Habe einen Trojaner, kann ihn aber nicht löschen!