Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Agent Hilfe!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.07.2009, 19:59   #1
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



Hi,

Anti Malwarebytes zeigt mir immer den Trojaner Agent an. Ich kann ihn mit Anti Malwarebytes so oft löschen wie ich möchte, er kommt immer wieder. Ich habe Windows Vista mit SP2.

Hier ist das Logfile aus AntiMalwarebytes:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2468
Windows 6.0.6002 Service Pack 2

21.07.2009 00:31:06
mbam-log-2009-07-21 (00-31-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 79634
Laufzeit: 1 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\kernel33.dll (Trojan.Agent) -> Delete on reboot.

und hier mein HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:56:44, on 21.07.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\brsvc01a.exe
C:\Windows\system32\brss01a.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\AVerMedia\Service\AVerRemote.exe
C:\Program Files\Common Files\AVerMedia\Service\AVerScheduleService.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\PSIService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ThreatFire\TFService.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\avmwlanstick\FRITZWLanMini.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerQuick.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\Windows\ehome\ehsched.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Windows\ehome\ehRecvr.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Live\Messenger\wlcsdk.exe
C:\Windows\system32\Symconsent.exe
C:\Users\TuxFan283\Desktop\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ffPrivate] "C:\Program Files\apsec\fideAS file enterprise\Private Edtion\ffPrivateAgent.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [0eYu] "C:\Users\TuxFan283\AppData\Roaming\LdkIeBcLY.bat"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: AVer HID Receiver.lnk = C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe
O4 - Global Startup: AVerQuick.lnk = C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerQuick.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVerRemote - AVerMedia - C:\Program Files\Common Files\AVerMedia\Service\AVerRemote.exe
O23 - Service: AVerScheduleService - Unknown owner - C:\Program Files\Common Files\AVerMedia\Service\AVerScheduleService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\Windows\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 12005 bytes


Ich hoffe, ihr könnt mir helfen!


MfG


TuxFan283

Alt 23.07.2009, 11:11   #2
kira
/// Helfer-Team
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hi

es geht hier um Privat oder Firmenrechner?
__________________


Alt 23.07.2009, 19:41   #3
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



es handelt sich um einen Privatrechner.
__________________

Alt 23.07.2009, 20:52   #4
kira
/// Helfer-Team
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hi

- 32 bit Vista oder 64bit-Rechner?
- Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
kennst Du das hier? - "Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK"
Code:
ATTFilter
O4 - HKCU\..\Run: [0eYu] "C:\Users\TuxFan283\AppData\Roaming\LdkIeBcLY. bat"
         
2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]


gruß
Coverflow

Alt 23.07.2009, 23:40   #5
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-24 00:27:56
Windows 6.0.6002 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \??\C:\Program Files\apsec\fideAS file enterprise\Private Edtion\vt\apsecf3.sys ZwQueryDirectoryFile [0xA090885C]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 85C0E1F8

AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)

Device \FileSystem\fastfat \Fat 87E871F8

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp TfNetMon.sys
AttachedDevice \Driver\tdx \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

---- Services - GMER 1.0.15 ----

Service system32\drivers\gaopdxdkvqbvmd.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----


Alt 23.07.2009, 23:44   #6
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



im Angang findest du die zwei gewünschten Daten. Deine markierte Datei konnte ich nach einem ereuten scan mit HJT nicht mehr finden.

Alt 24.07.2009, 07:06   #7
kira
/// Helfer-Team
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hi

Du hast aber ein (wenn nicht mehrere) hübsches und nicht gerade gutartiges Rootkit/Wikipedia auf deinen Rechner!
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
1.
- Beende bitte folgende Dienst:
Lavasoft Ad-Aware Service - Start→ Alle Programme →Zubehör →Ausführen →"services.msc" (reinschreiben ohne "") →Ok

2.
poste mir noch die Ergebnisse v. ComboFix:
Code:
ATTFilter
C:\Qoobox
         
3.
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
ATTFilter
C:\Windows\system32\drivers\axcuqrkc.sys
C:\Users\TUXFAN~1\AppData\Local\Temp\cxvafakj.sys

         
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei - am besten über Copy&Paste des kompletten Pfades direkt reinkopieren aus der Codebox!
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

4.
Punkt 4. fehlt noch, bitte nachreichen!: -> http://www.trojaner-board.de/75583-t...tml#post450628

5.
Lade herunter und installiere das Tool RootRepeal

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread

Geändert von kira (24.07.2009 um 07:15 Uhr)

Alt 24.07.2009, 10:48   #8
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



Hi,

also im Anhang findest du meine installierten programme und mein combofix. Leider hat RootRepeal nicht funktioniert. Es kamen imer Fehler mit 0x can not write und einmal cannot read.

Dank schomal das du mir immer hilfst!


TuxFan283

Alt 24.07.2009, 13:25   #9
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



und deine markierten Dateien, die ich bei Virustotal hochladen sollte, habe ich nicht gefunden. Scheinen wohl schon gelöscht worden zu sein oder so.

Danke nochmal für deine tatkräftige Unterstützung.

Alt 24.07.2009, 18:11   #10
kira
/// Helfer-Team
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hi

Ok, dann mache bitte folgendes:

1.
CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Wichtig!:
Zitat:
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
Starte jetzt "gmer" nochmal und verneine die Frage nach einem Scan.
Geh auf den Reiter "Services".
Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete".
Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell

3.
Dann lass` "gmer" erneut scannen
Scanner wieder einschalten, bevor Du ins Netz gehst!
und poste den Bericht.

4.
starte dein system neu auf

5.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Alt 24.07.2009, 19:32   #11
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hi,

also bei GMER kommt nichts was ich verneinen soll. und ich kann auch keinen roten eintrag finden.

ich mache jetzt weiter mit antispyware super oder wie das heißt.


trotzdem erstnmal danke.

Alt 24.07.2009, 19:34   #12
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



gmer zeigt mir keine meldung die ich verneinen kann. es kommt auuch keine roten einträge.


trotzdem schonmal danke für deine hilfe

Alt 24.07.2009, 20:11   #13
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



mir ist noch etwas eingefallen. ich habe avg anti rootkit gedownloadet und der hat folgendes gefunden:

Code:
ATTFilter
Path: C:\Windows\System32\Drivers\ab9aq2xh.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\adtguu20.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\adtguu20.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\azky5dil.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\a0idavhf.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\a0idavhf.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\a28xf1vk.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\aa1249h7.SYS	Description: Hidden driver filePath: C:\Windows\System32\Drivers\a5jl93he.SYS	Description: Hidden driver file
         
aber der findet immer wieder neue dateien. die fangenan ale immer mit a an und sind nach dem selben schema aufgebaut.

Alt 24.07.2009, 20:33   #14
kira
/// Helfer-Team
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hi

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
Code:
ATTFilter
Drivers to disable:
gaopdxserv.sys

Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\Windows\system32\drivers\axcuqrkc.sys
C:\Users\TUXFAN~1\AppData\Local\Temp\cxvafakj.sys
         
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein:
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

**- Wenn Avenger nicht ausgeführt werden kann (ein Rootkit kann es verhindern), benenne avenger.exe um in "avege.com" (ohne"") und versuche es erneut.

2.
versuche RootRepeal auch umzubenennen und ausführen
Wähle eine beliebige Dateiname, die Endung soll da auch *.com sein!

Alt 24.07.2009, 20:44   #15
tuxfan283
 
Trojan.Agent Hilfe! - Standard

Trojan.Agent Hilfe!



hier mein SUPERAntiSpyware Logfile:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/24/2009 at 09:42 PM

Application Version : 4.26.1006

Core Rules Database Version : 4016
Trace Rules Database Version: 1956

Scan type       : Complete Scan
Total Scan Time : 01:02:31

Memory items scanned      : 805
Memory threats detected   : 0
Registry items scanned    : 7927
Registry threats detected : 0
File items scanned        : 49273
File threats detected     : 14

Adware.Tracking Cookie
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@weborama[2].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@atdmt[2].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@perf.overture[1].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@adserver.71i[1].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@atwola[1].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@msnportal.112.2o7[1].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\tuxfan283@2o7[2].txt
	de.sitestat.com [ C:\Users\Standard\AppData\Roaming\Mozilla\Firefox\Profiles\z3tsd17a.default\cookies.txt ]
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\Low\tuxfan283@ad.yieldmanager[1].txt
	C:\Users\TuxFan283\AppData\Roaming\Microsoft\Windows\Cookies\Low\tuxfan283@kaspersky.122.2o7[1].txt

Unclassified.Unknown Origin
	C:\USERS\TUXFAN283\DOWNLOADS\FIREFOX\NAVIGONMOBILENAVIGATORSERIAL\KEYGEN.NFO
	C:\USERS\TUXFAN283\APPDATA\ROAMING\MICROSOFT\WINDOWS\RECENT\KEYGEN.NFO.LNK

Trojan.VXGame-Variant/D
	C:\USERS\TUXFAN283\GAMES\THE SIMS 2 APARTMENT LIFE [MULTI16][PCDVD][WWW.GAMESTORRENTS.COM]\TSBIN\TS2UPD.EXE

Adware.Spyware Labs
	C:\WINDOWS\SYSTEM32\SMAB.DLL
         

Antwort

Themen zu Trojan.Agent Hilfe!
ad-aware, add-on, antimalwarebytes, antivir, antivir guard, avira, bho, browser, controlcenter, desktop, downloader, firefox, hijack, hijackthis, installation, internet, internet explorer, logfile, magix, mozilla, plug-in, registrierungsschlüssel, safer networking, server, software, solution, stick, symantec, system, toolbars, trojaner, vista, windows




Ähnliche Themen: Trojan.Agent Hilfe!


  1. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  2. Win.Trojan.Agent-228583, Win.Trojan.Expiro-1161 und Win.Trojan.Agent-232649
    Plagegeister aller Art und deren Bekämpfung - 13.03.2013 (8)
  3. Trojan.Fakesmoke, Trojan.Agent-128337, Trojan.Agent-128287 bei Desinfect 2012 (Clam AV)
    Log-Analyse und Auswertung - 06.02.2013 (17)
  4. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  5. Hilfe Trojan.agent
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (35)
  6. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  7. Bundestrojana : Trojan.Spyeyes und Trojan.Agent.Gen - Hilfe
    Log-Analyse und Auswertung - 18.06.2012 (1)
  8. Hilfe...Trojan.Agent
    Log-Analyse und Auswertung - 29.10.2011 (1)
  9. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  10. Hilfe bei Beseitigung Trojan.Agent/Gen
    Plagegeister aller Art und deren Bekämpfung - 25.09.2009 (21)
  11. Brauche Hilfe - Trojan.Agent
    Log-Analyse und Auswertung - 03.08.2009 (2)
  12. Hilfe! Angeblich Trojan-PSW.Agent.win32.tz gefunden...
    Log-Analyse und Auswertung - 24.02.2008 (6)
  13. Brauche Hilfe! trojan-agent-winlogonhook, trojan-downloader-zlob, ...
    Plagegeister aller Art und deren Bekämpfung - 05.02.2008 (0)
  14. HILFE!!! Trojan.Dropper.Agent.TZ!!!
    Plagegeister aller Art und deren Bekämpfung - 23.12.2005 (3)
  15. Hilfe bez. Trojan-Downloader.Win32.Agent.hr
    Plagegeister aller Art und deren Bekämpfung - 11.10.2005 (10)
  16. Bitte Hilfe bei Trojan-Downloader.Win32.Agent.kb
    Log-Analyse und Auswertung - 03.03.2005 (17)
  17. Hilfe bei Trojan-Downloader.Win32.Agent.jb
    Plagegeister aller Art und deren Bekämpfung - 03.03.2005 (12)

Zum Thema Trojan.Agent Hilfe! - Hi, Anti Malwarebytes zeigt mir immer den Trojaner Agent an. Ich kann ihn mit Anti Malwarebytes so oft löschen wie ich möchte, er kommt immer wieder. Ich habe Windows Vista - Trojan.Agent Hilfe!...
Archiv
Du betrachtest: Trojan.Agent Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.