Trojan.Agent

AOCC · 08.12.2010, 20:23

Guten Abend, ich bin neu hier und bringe gleich ein Problem mit. Auf meinem Rechner habe ich einen Trojan.Agent, der diesen verlangsamt, nach 2-3 Std. einen Absturz verursacht, nach Neustart läuft er wieder.
Scannen mit Malwarebytes brachte folgendes Ergebnis:
Malwarebytes' Anti-Malware 1.50
ww.malwarebytes.org
Datenbank Version: 5273
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08.12.2010 18:57:51
mbam-log-2010-12-08 (18-57-51).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128757
Laufzeit: 5 Minute(n), 27 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Scannen mit Spyware Doctor brachte folgendes Ergebnis:
Registry-Wert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot, NextInstance
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Legacy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, ConfigFlags
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Class
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, ClassGUID
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, DeviceDesk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Capabilities

Registry-Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000\LogConf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot

So, ich hoffe ich habe alles richtig übertragen (StrgC+StrgV ging hier nicht). Würde mich über kurzfristige Hilfe freuen.

markusg · 08.12.2010, 20:38

welches programm zeigt dir den trojan agent wo an?
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

AOCC · 08.12.2010, 20:42

Der Trojaner wird über Spyware Doktor angezeigt, alle anderen zeigen nichts an.

Mache jetzt mal los, wie Du beschrieben hast.

Gruss, Joerg

soll ich die als *.zip senden, bei otl sind es 31 Seiten?!

so habe sie gepackt und als *.zip mit gesendet. Gruss Joerg

markusg · 08.12.2010, 21:40

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

AOCC · 08.12.2010, 22:18

sende die datei wieder als *.zip, Gruss Joerg

markusg · 09.12.2010, 13:16

bitte mache nen komplett scan mit malwarebytes, nach update. dann das ergebniss posten

AOCC · 09.12.2010, 15:13

Erledigt, hier ist das Ergebnis:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5279

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.12.2010 15:11:26
mbam-log-2010-12-09 (15-11-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Durchsuchte Objekte: 187329
Laufzeit: 44 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\programme\System\clonecdkg.exe (Trojan.Agent.CK) -> No action taken.
f:\programme\dvd bearbeitung\clone_dvdmobile\clone dvdmobile\Patch.exe (RiskWare.Tool.CK) -> No action taken.

Gruss Joerg

markusg · 09.12.2010, 15:19

was ist das:
f:\programme\dvd bearbeitung\clone_dvdmobile\clone dvdmobile\Patch.exe

AOCC · 09.12.2010, 16:02

habe unter F einige Programme gespeichert, die ich unter C nicht brauche.
was das ist kann ich auch nicht sagen.
Textdokument:
1. Patch starten, CloneDVDmobile -> Häkchen bei "Crack" und dann auf Patch klicken
2. Keygen starten, Daten generieren und auf "Register" klicken (optional)

markusg · 09.12.2010, 16:20

sorry, bei keygens gibts nur noch suport zum neu aufsetzen.

AOCC · 09.12.2010, 17:50

neu aufsetzen?, d.h. ich muss das Betriebssystem neu installieren?

markusg · 09.12.2010, 17:52

genau, und vorher daten sicherung machen.
dann solltest du dabei gleich alles an keygens los werden, diese bringen meist malware mit sich, außerdem ists illegal und für jede bezahlsoftware gibts auch freie alternativen.
eine anleitung zu neu aufsetzen und absichern kannst du gern bekommen.

AOCC · 09.12.2010, 17:54

schon beantwortet

AOCC · 09.12.2010, 17:57

ja, die hätte ich gerne.
Eine Frage noch, da dies auf Laufwerk F auftaucht reicht es nciht aus, diese Dateien zu löschen und 2. Spyware doktor hat auch nioch was in C gefunden.

markusg · 09.12.2010, 18:04

nein das reicht nicht aus. und warum sollte spyware dr das maß aller dinge sein. kein programm hat ne 100 %ige erkennung.
ok sichere also erst mal daten und dann gehts weiter.

08.12.2010, 21:40	#4
markusg /// Malware-holic	Trojan.Agent bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

09.12.2010, 13:16	#6
markusg /// Malware-holic	Trojan.Agent bitte mache nen komplett scan mit malwarebytes, nach update. dann das ergebniss posten __________________ --> Trojan.Agent

09.12.2010, 15:19	#8
markusg /// Malware-holic	Trojan.Agent was ist das: f:\programme\dvd bearbeitung\clone_dvdmobile\clone dvdmobile\Patch.exe __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

09.12.2010, 16:20	#10
markusg /// Malware-holic	Trojan.Agent sorry, bei keygens gibts nur noch suport zum neu aufsetzen. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Trojan.Agent

Plagegeister aller Art und deren Bekämpfung: Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Trojan.Agent

Ähnliche Themen: Trojan.Agent

08.12.2010, 20:42	#3
AOCC	Trojan.Agent Der Trojaner wird über Spyware Doktor angezeigt, alle anderen zeigen nichts an. Mache jetzt mal los, wie Du beschrieben hast. Gruss, Joerg soll ich die als .zip senden, bei otl sind es 31 Seiten?! so habe sie gepackt und als .zip mit gesendet. Gruss Joerg __________________

08.12.2010, 22:18	#5
AOCC	Trojan.Agent sende die datei wieder als *.zip, Gruss Joerg

09.12.2010, 16:02	#9
AOCC	Trojan.Agent habe unter F einige Programme gespeichert, die ich unter C nicht brauche. was das ist kann ich auch nicht sagen. Textdokument: 1. Patch starten, CloneDVDmobile -> Häkchen bei "Crack" und dann auf Patch klicken 2. Keygen starten, Daten generieren und auf "Register" klicken (optional)

09.12.2010, 17:50	#11
AOCC	Trojan.Agent neu aufsetzen?, d.h. ich muss das Betriebssystem neu installieren?

09.12.2010, 17:54	#13
AOCC	Trojan.Agent schon beantwortet Geändert von AOCC (09.12.2010 um 17:55 Uhr) Grund: schon beantwortet

09.12.2010, 17:57	#14
AOCC	Trojan.Agent ja, die hätte ich gerne. Eine Frage noch, da dies auf Laufwerk F auftaucht reicht es nciht aus, diese Dateien zu löschen und 2. Spyware doktor hat auch nioch was in C gefunden.