Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Agent.KT + TR/Lefeat.DLL1 + ... (https://www.trojaner-board.de/14100-tr-agent-kt-tr-lefeat-dll1.html)

Capitano 19.02.2005 12:19

TR/Agent.KT + TR/Lefeat.DLL1 + ...
 
Tach auch... ich versuch seit Stunden, meinen PC zu säubern, habe mir die og. Trojaner eingefangen.
Aber egal, wie oft ich versuche, das per HijackThis oder AntiVir zu fixen - spätestens beim Neustart sind die Einträge im Logfile sowie die AntiVir-Warnungen wieder da.
Desweiteren habe ich das Gefühl, dass ich mit dem Löschen-Befehl von AntiVir irgendwas zerschossen habe, da bei jedem Herunterfahren "Programm reagiert nicht" erscheint. Sind das die "file-missing" Einträge im Logfile?
Da ich mittlerweile nicht mehr weiter weiß und davon abgesehen sich die Trojaner auch auszubreiten scheinen (AntiVir findet immer neue "verseuchte" Dateien, z.B. windows/system32/JAVAFR32.EXE, windows/system32/ADJY.EXE, windows/system32/D3SN32.EXE, etc.) stehe ich gerade kurz vor der Formatierung... aber vielleicht könnt ihr mir ja noch weiterhelfen.
Danke im Voraus, hier natürlich noch das obligatorische Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:05:10, on 19.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600) (Jaja, ich weiß, ich sollte mich mal um SP2 kümmern...)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\msgl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B6541D32-D27A-ECDB-EE56-1C5DCD4FA210} - C:\WINDOWS\system32\ntfv32.dll
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winnbt32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [msgl.exe] C:\WINDOWS\system32\msgl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Network Security Service (%AF夶À¨) - Unknown owner - C:\WINDOWS\msin32.exe (file missing)

Wie gesagt, bei vielen davon weiß ich, dass es sich um böse Buben handelt, aber fixen bringt nichts...

cacatoa 19.02.2005 12:28

Hi,
ich persönlich würde bei einem Trojaner, der Tastenfolgen speichert und weitersendet, mein System neu aufsetzen. Hier.
Lasse mal diese Datei:
C:\WINDOWS\system32\msgl.exe
bei Jotti online scannen und berichte über das 10-zeilige Ergebnis.
Stelle Dich gedanklich auf das Neuaufsetzen des Systems ein.
cacatoa

Capitano 19.02.2005 13:02

Danke erstmal für die warnung, hatte mich, wie gesagt, ohnehin schon aufs Plätten eingestellt...

Hier trotzdem noch das Jotti Ergebnis:

Code:

File:  msgl.exe 
Status:  INFECTED/MALWARE 
Packers detected:  PE-CRYPT.SQR, UPX
 
AntiVir  No viruses found (0.38 seconds taken)
Avast  No viruses found (1.53 seconds taken)
AVG Antivirus  Downloader.Agent.9.AK (0.39 seconds taken)
BitDefender  No viruses found (0.58 seconds taken)
ClamAV  Trojan.Downloader.Agent-66 (0.57 seconds taken)
Dr.Web  No viruses found (0.86 seconds taken)
F-Prot Antivirus  No viruses found (0.09 seconds taken)
Fortinet  No viruses found (0.41 seconds taken)
Kaspersky Anti-Virus  Trojan-Downloader.Win32.Agent.bq (1.02 seconds taken)
mks_vir  Trojan.Downloader.Agent.Bq (0.21 seconds taken)
NOD32  No viruses found (0.47 seconds taken)
Norman Virus Control  W32/Agent.AYT (0.19 seconds taken)


cacatoa 19.02.2005 13:39

Also, der, den Du jetzt gefunden hast, ist nicht das tragischste.
Wenn du aber wirklich ein sauberes System haben willst, dann setze Dein System nach dieser Anleitung neu auf.
Der Zeitaufwand ist gerechnet zum Ergebnis einfach günstig; weil du ja noch vier andere drauf hast, von denen Du nicht weißt, was sie schon alles angestellt haben...
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19