Trojaner Win32.Agent.pz ?!

babss · 24.04.2007, 17:20

Hallo,
mein PC wurde schonmal formatiert (vor einem Monat!) und jetzt hab ich mir erneut einen Trojaner eingefangen -.-**

Ich hab schon versucht mit Spybot S&D das Problem zu beheben jedoch ohne Erfolg!

Mit HijackThis hab ich auch einiges gefixt aber Spybot findet Win32.Agent.pz trotzdem!

Könnt ihr mir sagen, ob das Problem schnell zu beseitigen ist oder muss ich wieder formatieren?
Und kann man recherchieren, woher ich das eingefangen habe? - trotz "firewall" -.-* -

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u...
hab ich mehrmals gefixt aber es lässt sich nicht beseitigen

Wie soll ich vorgehen??

Vielen Dank im Vorraus!

hier mein LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 18:04:56, on 24.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by112fd.bay112.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174828368701
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

undoreal · 24.04.2007, 17:36

Hallo.

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,

dieser Eintrag ist nicht schädlich!

Woher deine Infektion kommt? Das kann ich dir sagen: Du hast kein aktuelles System. Service Pack 2 ist minimum an PC Sicherheit!!!! Update auf SP2 un melde dich wieder. Lies dir auch mal den link aus meiner Signatur zur Systemsicherheit durch.

mfg

Undoreal

nochdigger · 24.04.2007, 18:22

Moin

Zitat:

dieser Eintrag ist nicht schädlich!

wenn ich mich nicht verlesen habe meint Sophos aber was anderes

--> Troj/Dloadr-AWQ - Trojaner - Sophos Bedrohungsanalyse

MFG

undoreal · 24.04.2007, 21:56

jo, kann sein, dass du recht hast. hmm

babss · 25.04.2007, 15:31

Als ich heute wieder mit Spybot überprüft hab, wurden keine Spione gefunden, aber dadrunter sind Namen aufgelistet:

hier, ein Screenshot:

Soll ich diese "Funde" anklicken und sie dann beheben?

undoreal · 26.04.2007, 12:46

Die Funde kannst du löschen. SpyBot ist da eigentlich recht zuverlässig.

Und dann würde ich dich bitten einen iClean report zu erstellen.
Prog in eigenm Ordner ausführen -> "Yes" -> File -> Report.. poste den bitte hier.

Gruß

Undoreal

SirSansAme · 16.12.2007, 17:03

Also Leute, Win32.Agent.pz ist doch ganz einfach zu entfernen:

Schritt 1:
Download KillBox
Download SpyBot - Search & Destroy 1.5.1

Schritt 2:
KillBox starten und in das Feld: Full Path of File to Delete folgenden Pfad eintragen: c:\windows\system32\ntos.exe
(eventuell Pfad ändern, wenn euer Windows woanders ist)

Einen Haken bei Replace on Reboot und bei Use Dummy.
Anschließend auf das weiß-rote X klicken und neu starten.

Schritt 3:
SpyBot Search & Destroy starten und anschließend Win32.Agent.pz entfernen lassen.

Das war's.

24.04.2007, 21:56	#4
undoreal /// AVZ-Toolkit Guru	Trojaner Win32.Agent.pz ?! jo, kann sein, dass du recht hast. hmm __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

26.04.2007, 12:46	#6
undoreal /// AVZ-Toolkit Guru	Trojaner Win32.Agent.pz ?! Die Funde kannst du löschen. SpyBot ist da eigentlich recht zuverlässig. Und dann würde ich dich bitten einen iClean report zu erstellen. Prog in eigenm Ordner ausführen -> "Yes" -> File -> Report.. poste den bitte hier. Gruß Undoreal __________________ --> Trojaner Win32.Agent.pz ?!

Trojaner Win32.Agent.pz ?!

Log-Analyse und Auswertung: Trojaner Win32.Agent.pz ?!