|
sämtlicher sorten von TR/Drop.Agen HELP !!! Hi erstamal... Ich bin neu hier und weiss noch nix.. Hab sämtliche Versionen des Trojaners "TR/Drop.Agen.QF.3.C" und "TR/Dldr.Agen.QT1.D" eigentlich is alles vertreten.. Habe schon dutzende Programme im Amodus durchlaufen lassen RegFreeze 5.5, AdAware, ClearProg, Prevx1, HijackThis, F-Prot Antivirus und Avira AntivirusPersonal hat alles in dem Sinne den Trojaner zu entfehrnen recht wenig genützt doch trotz allem habe ich rund 100 sachen gefunden. Es tauchen immer im abstand von ~30min. zwei viruswarnungen von meinem Avira auf, einmal der "TR/Drop.Agen.QF.3.C" dann der "TR/Dldr.Agen. QT1.D" am anfang wars noch recht simpel, da hat der trojaner einfach willkürlich eine *.tmp datei zur executable umgewandelt.Die erste datei war die:"Win3D.tmp.exe" Die hat Avira auch erkannt und gelöscht somit war ich mir sicher nachdem ich dann nochmals Prevx1 im Amodus durchlaufen lies und er mir keine Warnung mehr gab, dass der Sack weg sei.. Hatte auch einen Tag ruhe... doch dann kam es richtig dick, nun bekomme ich alle 5Min. ne doppelwarnung ( verweigere dem Trojaner aber weiterhin jegliche Dateizugriffe.. ) Bitte Helft mir.. ich nutze den Pc geschäftlich und bin somit ziemlich aufgeschmissen.. :-( Das HJT Logfile hab ich als anhang mal dazugetan.. THX schonmal im Vorraus.. |
fixe mit HJT: O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - (no file) mit f-secure blacklight scannen und renamen: C:\WINDOWS\SYSTEM32\winbfi32.dll dann datei löschen dann müsste alles wegsein. mfg chill |
Hi Chillmode. ThX schonmal für deine Hilfe.. die beiden Einträge habe ich gefixt.. mache mich jetzt an den Scan.. soll ich in den Amodus gehen oder einfac so im normalmode scannen??? |
So Chillmode hab das beim Scan rausbekommen... 06/06/06 14:33:02 [Info]: BlackLight Engine 1.0.37 initialized 06/06/06 14:33:02 [Info]: OS: 5.1 build 2600 (Service Pack 2) 06/06/06 14:33:02 [Note]: 7019 4 06/06/06 14:33:02 [Note]: 7005 0 06/06/06 14:33:16 [Note]: 7006 0 06/06/06 14:33:16 [Note]: 7011 1712 06/06/06 14:33:16 [Note]: 7026 0 06/06/06 14:33:17 [Note]: 7026 0 06/06/06 14:33:17 [Note]: 7024 3 06/06/06 14:33:17 [Info]: Hidden process: C:\WINDOWS\system32\pcamon32.exe 06/06/06 14:33:17 [Note]: FSRAW library version 1.7.1015 06/06/06 14:35:28 [Note]: 10002 2 06/06/06 14:35:28 [Note]: 10002 2 06/06/06 14:35:28 [Info]: Hidden file: c:\WINDOWS\system32\pcamon10.dat 06/06/06 14:35:28 [Note]: 10002 2 06/06/06 14:35:28 [Info]: Hidden file: c:\WINDOWS\system32\pcamon10.dll 06/06/06 14:35:28 [Note]: 10002 2 06/06/06 14:35:28 [Info]: Hidden file: c:\WINDOWS\system32\pcamon30.dll 06/06/06 14:35:28 [Note]: 10002 2 06/06/06 14:35:28 [Info]: Hidden file: c:\WINDOWS\system32\pcamon32.dat 06/06/06 14:35:28 [Note]: 10002 2 06/06/06 14:35:28 [Info]: Hidden file: C:\WINDOWS\system32\pcamon32.exe 06/06/06 14:35:28 [Note]: 10002 2 Wat Nu ??? die datei die die du mir zum renamen gegeben hast hat er nich gefunden... .. *komisch* MfG Viper |
Hallo, benenne mal folgedne Dateien mit der rename Funftion um: C:\WINDOWS\system32\pcamon32.exe c:\WINDOWS\system32\pcamon10.dat c:\WINDOWS\system32\pcamon10.dll c:\WINDOWS\system32\pcamon32.dat c:\WINDOWS\system32\pcamon30.dll danach tauchen diese im Explorer folgednermaßen wieder auf: C:\WINDOWS\system32\pcamon32.exe.ren c:\WINDOWS\system32\pcamon10.dat.ren c:\WINDOWS\system32\pcamon10.dll.ren c:\WINDOWS\system32\pcamon32.dat.ren c:\WINDOWS\system32\pcamon30.dll.ren Diese Dateien überprüfst du dann jeweils hier und postest das Ergebnis, die Dateien noch nicht löschen! Grüße Wildone |
Zitat:
mfg chill |
Hallo, ich will aber erst genau sehen als was sie bezeichnet werden, dann kannst du sie ev. immernoch löschen. Momentan gehe ich nämlich davon aus, dass es das vernünftigste wäre tabula rasa zu machen und die Kiste neu aufzusetzen. Grüße Wildone |
HI wildone hab da n neues problem.. und zwar das hier.. 06/06/06 15:03:38 [Info]: Hidden file: c:\WINDOWS\system32\pcadat\XxViPeRxX20060606145013.da was is das fürn file??? das hat er mir vorenthalten beim letzten scan trotzdem alle renamen und dann zu diesem VIRUSTOTAL schicken.. ??? |
Hallo, gehört wohl ebenfalls dazu, ebenfalls umbenennen und dann bei virustotal überprüfen. Siehst du den Ordner c:\WINDOWS\system32\pcadat im Explorer? Grüße Wildone |
@Wildone.. Der zeigte mir alle files mit der .ren endung an.. So hab nun ALLE *.Ren files an Virustotal geschickt... jetzt heisst es abwarten.. :-( mal sehen was dabei rauskommt.. sobald ergebnisse dasind melde ich mich wieder... gruß ViPeR ps.: Den Ordner sehe ich was is damit?? |
Hallo, kopieren musst du sie nicht, du gibst bei virustotal.com einfach den entsprechenden Pfad zu der Datei ein(Durchsuchen), und klickst dann auf "send". Das kann dann zwischen 10 sec. und 2min. dauern, und dann bekommst du das ERgebnis, dieses postest du hier rein. Grüße Wildone |
nunja weil das eine bei mir nich funktioniert hat hab ichs über gmx gemacht... mal sehen wie lang es dann dauert hab sie um 15.35uhr abgschickt.. hoffe sie kommen bald die Ergebnisse Dieser Vermaledeite Trojaner macht mich Wahnsinnig... :balla: Sry das hab ich dann wohl falsch verstanden.. ;-) OK ich mach dann ein File nach dem anderen... nun fange ich an mit "pcamon10.dat.ren" poste dein eins nach dem anderen im EDITSTYLE.. 1. "pcamon10.dat.ren" = No Virus Found 2. "pcamon10.dll.ren" = No Virus Found 3. "pcamon30.dll.ren" = 1.FUND ( WIN.MAIL.WORM.Virus ) detected by: Dr.Web 4."pcamon32.dat.ren" = No Virus Found 5."pcamon32.exe.ren" = 2.FUND siehe liste:
|
@Viper Wie du hast sie alle an Virustotal geschickt? :confused: Du solltest sie doch hochladen und sofort auswerten lassen?! :kloppen: Lade doch mal eine dieser Datein hoch und poste dann das Ergebnis! Zitat:
Gruß Daniel (Sorry das du unser Versuchskaninchen bist :aplaus: ) |
Ich an deiner Stelle würde auch in diesem Falle das System neu aufsetzen! Auch wenn es sich "nur" als "keylogger" rausstellt! (dann sowieso! ;) ) Ansonsten packe alle Dateien: Zitat:
Poste dann bitte die Antwort von Kaspersky was dabei herausgekommen ist! Sorry Daniel |
ohh mein gott neuaufsetzen würd.. mich tage kosten... shit.. welchem risiko bin ich nachdem löschen der dateien ausgestzt.... ?? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board