|
Plagegeister aller Art und deren Bekämpfung: Hilfe bei Beseitigung Trojan.Agent/GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.09.2009, 15:02 | #1 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo liebe Leute, hatte zuerst ein Meldung bei Spybot über virtualmonde. AntiVir brachte keinerlei Fund. Nachdem ich einiges gelesen hatte war ich schon fast überzeugt, dass es ein Fehlalarm ist. Gemeldet wurde eine dll-Datei im system32 Ordner, die aber nach beseitigen immer noch da war und auch zuletzt 2004 geändert wurde. Ich hab dann auf die Lektüre hier im Board SUPERAntiSpyware laufen lassen und leider auch Ergebnisse bekommen. Bevor ich jetzt weiter auf eigen Faust mit kaum vorhandenen Wissen weitermache, bitte ich doch lieber um weitere Instruktionen. Vielen Dank im Voraus , Jan Code:
ATTFilter SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 09/20/2009 at 03:34 PM Application Version : 4.29.1002 Core Rules Database Version : 4112 Trace Rules Database Version: 2052 Scan type : Complete Scan Total Scan Time : 01:26:56 Memory items scanned : 491 Memory threats detected : 0 Registry items scanned : 6638 Registry threats detected : 1 File items scanned : 30955 File threats detected : 100 Trojan.Agent/Gen HKU\S-1-5-21-3783930576-3832968431-757601568-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4254E07D-1B18-446C-BA07-20A70E629F88} Adware.Tracking Cookie C:\Dokumente und Einstellungen\******\Cookies\******@www.ad-track[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.etracker[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@fr.sitestat[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@zanox[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@overture[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@banner.testberichte[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@tto2.traffictrack[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@de.sitestat[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@adserver.adtechus[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@xiti[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@rotator.adjuggler[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.edelight[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@banner.dhl-systems[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@questionmarket[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.trackbar[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@fr.sitestat[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.clicksor[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@de.sitestat[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@webmasterplan[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@traffictrack[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@adbrite[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.heias[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@stats.paypal[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@2o7[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@komtrack[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@euros4click[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@autoscout24.112.2o7[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.adition[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@247realmedia[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@de.sitestat[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@bs.serving-sys[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@mediaonenetwork[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.adnet[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@weborama[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.uclick[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.zanox[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@aolde.122.2o7[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@track.adform[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@atwola[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.active-tracking[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@adsrv.admediate[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@myroitracking[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.yn-ads[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@adserver.traffictrack[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.bannerreport[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@tracking.quisma[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@1.sharkadnetwork[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@serving-sys[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.bannerreport[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@smartadserver[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@im.banner.t-online[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@richmedia.yahoo[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@yadro[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.quartermedia[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@eas.apm.emediate[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@a3.adserver01[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads1.heimtierheim[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@twstats[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@zbox.zanox[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@de.at.atwola[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.ad-srv[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@at.atwola[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@tacoda[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@ad.adnet[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ar.atwola[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@allesklarcomag.112.2o7[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@adserver.71i[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@adserver.adremedy[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.planetactive[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@adtech[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@paypal.112.2o7[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@tracking.mlsat02[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@counter.wepapro[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@mediametrics.mpsa[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@de.twstats[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.googleadservices[6].txt C:\Dokumente und Einstellungen\******\Cookies\******@deutschepostag.112.2o7[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@lego.112.2o7[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.famdirekt[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.ad4game[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@2o7[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@zanox[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.etracker[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@at.atwola[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@adtech[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@ads.planetactive[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@tacoda[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@webmasterplan[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.googleadservices[3].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.googleadservices[4].txt C:\Dokumente und Einstellungen\******\Cookies\******@komtrack[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@atwola[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@serving-sys[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@www.googleadservices[5].txt C:\Dokumente und Einstellungen\******\Cookies\******@tracking.quisma[1].txt C:\Dokumente und Einstellungen\******\Cookies\******@adtech[2].txt C:\Dokumente und Einstellungen\******\Cookies\******@2o7[2].txt Unclassified.Monitor/ActualSpy C:\SYSTEM VOLUME INFORMATION\_RESTORE{F9079F28-EF38-4969-93C8-FE3D06E6DF9E}\RP372\A0088725.DLL also schön wenn ich eine Info bekäme, welchen der Einträge ich vor dem Löschen retten soll. Danke nocheinmal Jan Geändert von jrzp (20.09.2009 um 15:44 Uhr) Grund: hatte ich vergessen mitzuteilen |
20.09.2009, 16:09 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Beseitigung Trojan.Agent/Gen Hallo und
__________________Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
20.09.2009, 19:39 | #3 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne,
__________________vielen Dank für die schnelle Reaktion. Habe angefangen die Liste abzuarbeiten. Bei der Registry Säuberung kommt allerdings ein Eintrag über eine nicht genutzte Dateiendung in HKCR immer wieder. Habe ich jetzt ignoriert und lasse gerade den malware-scan laufen. Melde mich dann wieder sobald er fertig ist und rsit, bzw. hijackthis fertig ist. Mal sehen wie lange das dauert. Habe vorher noch etliche Programme gelöscht, die hier eh keiner braucht (Familien Rechner ), damit es schneller geht. Bis dann und falls es heute nichts mehr wird bis morgen und gute Nacht. Danke Jan |
20.09.2009, 21:35 | #4 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, hab jetzt die Liste abgearbeitet. mbam hat eine Datei eines Trojaner Downloaders gefunden. Habe ich gelöscht und danach den Rechner neu gestartet. Neustart war im abgesicherten Modus (hatte ich so eingestellt und vergessen), ich hoffe das macht nichts. Dann RSIT ausgeführt. Die Zip-Datei mit den beiden logs ist unter diesem Link zu bekommen: http://www.file-upload.net/download-1901312/mbam-rsit-logs.zip.html Ich warte dann auf weitere Instruktionen. Danke Jan |
21.09.2009, 16:05 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Beseitigung Trojan.Agent/Gen 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst den kompletten Pfad der u.a. Datei auch per Kopieren und Einfügen in die "Adressleiste" vom Virustotal einfügen. Code:
ATTFilter C:\DOKUME~1\PEPEFR~1\LOKALE~1\Temp\ldiskl.sys Windows-/Internet Explorer Update Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Adobe Acrobat Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn. Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Java-Update Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
21.09.2009, 19:50 | #6 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, hier das Ergebnis von Virustotal: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.09.19 - AhnLab-V3 5.0.0.2 2009.09.19 - AntiVir 7.9.1.19 2009.09.18 - Antiy-AVL 2.0.3.7 2009.09.18 - Authentium 5.1.2.4 2009.09.19 - Avast 4.8.1351.0 2009.09.18 - AVG 8.5.0.412 2009.09.19 - BitDefender 7.2 2009.09.19 - CAT-QuickHeal 10.00 2009.09.19 - ClamAV 0.94.1 2009.09.19 - Comodo 2370 2009.09.19 - DrWeb 5.0.0.12182 2009.09.19 - eSafe 7.0.17.0 2009.09.17 - eTrust-Vet 31.6.6746 2009.09.18 - F-Prot 4.5.1.85 2009.09.19 - F-Secure 8.0.14470.0 2009.09.18 - Fortinet 3.120.0.0 2009.09.19 - GData 19 2009.09.19 - Ikarus T3.1.1.72.0 2009.09.19 - Jiangmin 11.0.800 2009.09.19 - K7AntiVirus 7.10.849 2009.09.19 - Kaspersky 7.0.0.125 2009.09.19 - McAfee 5745 2009.09.18 - McAfee+Artemis 5745 2009.09.18 - McAfee-GW-Edition 6.8.5 2009.09.18 - Microsoft 1.5005 2009.09.19 - NOD32 4440 2009.09.19 - Norman 6.01.09 2009.09.18 - nProtect 2009.1.8.0 2009.09.19 - Panda 10.0.2.2 2009.09.19 - PCTools 4.4.2.0 2009.09.19 - Prevx 3.0 2009.09.19 - Rising 21.47.52.00 2009.09.19 - Sophos 4.45.0 2009.09.19 - Sunbelt 3.2.1858.2 2009.09.19 - Symantec 1.4.4.12 2009.09.19 - TheHacker 6.5.0.2.012 2009.09.18 - TrendMicro 8.950.0.1094 2009.09.18 - VBA32 3.12.10.10 2009.09.18 - ViRobot 2009.9.18.1943 2009.09.18 - VirusBuster 4.6.5.0 2009.09.18 - weitere Informationen File size: 15872 bytes MD5 : 5012f080fccf701e2cd6b045ac7814d9 SHA1 : 2e8265294f3deea45512a44958eeac38c41f5453 SHA256: 3a3be5c491f88554493c0959634bb83146204b7dc378dcbf98e210bfb12981e5 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1610 timedatestamp.....: 0x3F7854E4 (Mon Sep 29 17:51:00 2003) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2AD8 0x2C00 6.24 c12e8d8c4517f713f15a74c3ac9702f2 .rdata 0x4000 0x174 0x200 2.79 e95e9f70800834aeb47553cb8707d1c0 .data 0x5000 0xFB8 0x200 0.90 c8516e380d34a9d1adaa1d28666759a6 INIT 0x6000 0x41A 0x600 4.04 cde9446cecd43fa840c47229083fbb84 .reloc 0x7000 0x352 0x400 3.13 d21511bcad53ff0e98c70a4776af203d ( 0 imports ) ( 0 exports ) TrID : File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) ssdeep: 384:Xxx7JMPV4lPO3EIUdq0bGy1Mj1JnkKgD78eskN3x:hMPV0PcEIx0NKVgDggN PEiD : - CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=5012f080fccf701e2cd6b045ac7814d9 RDS : NSRL Reference Data Set - Adobe Reader ist deinstalliert, Foxit Setup Datei geladen. Werde jetzt das SP3 runterladen und installieren und Java deinstallieren. Ich melde mich dann wenn es soweit ist. Hast Du schon eine Auskunft darüber was für ein Trojaner mbam da gefunden hat? Gruß Jan |
21.09.2009, 20:50 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Beseitigung Trojan.Agent/GenCode:
ATTFilter C:\DOKUME~1\PEPEFR~1\LOKALE~1\Temp\ldiskl.sys
__________________ Logfiles bitte immer in CODE-Tags posten |
21.09.2009, 21:01 | #8 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, Datei ist hoch geladen. Java aktualisiert. SP3 installiert (war schon runtergeladen und mußte nur noch installiert werden). Alle aktuellen Updates für SP3 heruntergeladen und installiert. Gruß Jan |
22.09.2009, 08:48 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Beseitigung Trojan.Agent/Gen Irgendwie seh ich da noch nichts Kannst Du die Datei bitte auch mal bei file-upload.net hochladen und hier verlinken? Ich lade die dann nochmal selbst in den Uploadbereich hier
__________________ Logfiles bitte immer in CODE-Tags posten |
22.09.2009, 11:10 | #10 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, upps, da hab ich wohl irgendwas falsch gemacht. Bin im Moment nicht zu Hause. Werde die Datei heute Abend, wahrscheinlich so gegen 19: Uhr hochladen. Ist der Fund von mbam eigentlich durch das Löschen erledigt? Gruß Jan |
22.09.2009, 16:54 | #11 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, hab die Datei jetzt nocheinmal ins trojaner board hochgeladen und unter folgendem Link zu file-upload: http://www.file-upload.net/download-1904217/ldiskl.sys.html Ich hoffe jetzt hat es geklappt. Gruß Jan |
22.09.2009, 18:18 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Beseitigung Trojan.Agent/Gen Ok danke
__________________ Logfiles bitte immer in CODE-Tags posten |
22.09.2009, 20:09 | #13 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, ich will nicht aufdringlich sein, aber kannst Du schon irgendeine vorab Prognose geben und mir sagen, ob der Fund von malware bytes mit der Löschung erledigt ist oder nicht und wie schlimm es ist und was es möglicherweise mit der Datei die ich hochladen sollte auf sich hat ? Gruß Jan |
22.09.2009, 21:20 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hilfe bei Beseitigung Trojan.Agent/Gen Die Datei die Du hochgeladen hast, dazu weiß ich nicht nichts. Sie ist möglicherweise infiziert, dazu sag ich mehr wenn die Auswertung durch ist. Zur anderen Datei von MBAM, das hier meinst Du oder? Code:
ATTFilter Infizierte Dateien: C:\Programme\delete.exe (Trojan.Downloader) -> Quarantined and deleted successfully. Gibts denn noch weitere Probleme / Meldungen?
__________________ Logfiles bitte immer in CODE-Tags posten |
22.09.2009, 21:31 | #15 |
| Hilfe bei Beseitigung Trojan.Agent/Gen Hallo Arne, Probleme hatte ich eigentlich keine. Hatte nur mal wieder spybot laufen lassen und der brachte eine Meldung, die sich allerdings durch die anderen Programme nicht bestätigen ließ. Deshalb habe ich dann nach der anderen Meldung durch SUPERAntiSpyware hier um Hilfe gebeten. Aber wenn sich nicht feststellen läßt, ob der Rechner sauber ist oder nicht, muß ich mich wohl doch mit dem Gedanken vertraut machen zu formatieren.Ich werde dann erstmal die Überprüfung der verdächtigen Datei abwarten. Ist merkwürdigerweise in einem der Profile, die gar nicht genutzt werden, hab da auch schon angefangen aufzuräumen. Würdest Du mir denn raten zu formatieren? Gruß Jan |
Themen zu Hilfe bei Beseitigung Trojan.Agent/Gen |
ad.ad-srv, adfarm, anleitung, antivir, atwola, beseitigung, code, detected, einstellungen, fehlalarm, hilfe bei beseitigung, leute, löschen, meldung, microsoft, neu, ordner, rechner, scan, software, spybot, starten, superantispyware, system volume information, trojan.agent/gen, version, windows, _restore |