Trojaner-Board - TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden (https://www.trojaner-board.de/103650-tr-agent-379392-f-tr-drop-agent-dil-tr-crypt-zpack-gen2-antivir-gefunden.html)

TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden

Hallo und vielen Dank schonmal, daß sich meiner angenommen wird.

Zu meinem Problem: Mir ist vor ein paar Tagen aufgefallen, daß der Seitenaufbau und Download von Dateien (z.b. das Defragmentierprogramm von Pirisoft) unglaublich lange brauchen. Ebenso habe ich ab und zu die Fehlermeldung vom Netzwerk, daß es "keine oder nur eine eingeschränkte Konnektivität" möglich ist. Nach Stöbern im Netz habe ich in einem Beitrag gelesen, daß das auch Ursache eines Schädlingsbefalles sein kann.
Deshalb lief der Antivir-Scan mit folgenden Fünden:

TR/Agent.379392.F (4x)
TR/Drop.Agent.dil
TR/Crypt.ZPACK.Gen2 (2x)

Betroffene Dateien liegen nun unter Quarantäne. Ich würde diese auch gern ganz löschen ... kann man davon ausgehen, daß das ohne Bedenken gemacht
werden kann, da sie von der Quarantäne aud auch nicht arbeiten und das System läuft?
Ebenso lief der Scan mit Spybot (ohne Fund) und HiJack (keine unbekannten Dienste erkannt). Dem Frieden traute ich aber noch nicht und lud mir Malwarebytes AM runter, ließ es laufen und das Programm fand schon etwas im Quickscan. Deshalb lief der komplette Scan später mit noch ein paar Fünden. Die Logs sind beigefügt.

Ich probierte die letzten zwei Tage noch andere mir bekannte Programme aus, wie: Blacklight von f-secure (ohne Fund)
Ad-Aware (ohne Fund)
McAfees Stinger (ohne Fund)

In unregelmäßigen Abständen läuf bei mir der CCleaner und ATF-Cleaner und seltener der RegCleaner. Spywareblaster ist installiert. Als Antivirensoftware läuft Antivir und Zonealarm als Firewall.

Nach allem habe ich ab und zu immernoch das Problem mit der Konnektivität und darüber hinaus ist mir aufgefallen, daß sofort nach dem Booten die CPU-Auslastung schon bei ca.50% liegt ... im TM unter Prozesse sind services.exe (5-20%) und wlansrv.exe (3-7%) erkennbar, daß sie etwas machen. Die anderen restlichen Prozente sind immer im Leerlaufprozess zu finden. Wie kommt also die hohe Auslastung zustande?

Ich nutze das Internet mit diversen Sachen, bei denen ich persönliche Informationen preisgeben muß und bin mir jetzt nicht sicher, ob mein System
wieder gesäubert ist. Deshalb bin ich hier gelandet und hoffe auf Hilfe.

Die erwünschten Scans habe ich hoffentlich richtig ausgeführt und angefügt. Sowie von Malewarebytes AM und OTL habe ich die alten Logs angefügt.
Von OTL auch einen nach Anleitung. Ich hatte auch vor, den eset-Online-Scan laufen zu lassen, aber bis jetzt hat das Programm es noch nicht geschafft, die Viruscodes runterzuladen ... erstens läuft der Download sehr,sehr langsam und irgendwann kommt es dann zum "Unespected error". Ich habe es auch mit über TM ausgeschaltetem AntiVir und heruntergefahrener ZoneAlarm-Firewall probiert ... ohne Erfolg.

Ich habe in einem anderen Thread gelesen, daß sich AntiVir aufgrund derer Entwicklung und Entscheidungen nicht mehr empfehlen läßt. Welches Freeware-Tool (ich will mir später mal G-Data zulegen, aber bis dahin...) ist denn da besser geeignet?

Danke für Antworten!

P.S.: Eine Extra.txt hatte ich bei dem Scan nach Anleitung nicht auf dem Desktop, wo auch die OTL.exe ist, deshalb schicke ich die vom ersten Suchlauf mit und hoffe, diese reicht. Ebenso ist die OTL-Logdatei zu groß, weswegen ich sie nur im .zip-Archiv mitschicken und nicht, wie gewünscht im Thema eintragen kann. (Vielleicht mache ich auch einfach nur was falsch ... für den Fall tut´s mir leid!!!:pfeiff:)

Zitat:

Betroffene Dateien liegen nun unter Quarantäne. Ich würde diese auch gern ganz löschen ...

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Zitat:

In unregelmäßigen Abständen läuf bei mir der CCleaner und ATF-Cleaner und seltener der RegCleaner.

Finger weg von Registry-Bereinigung!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr booted.

Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.

Zitat:

O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)

Was willst du mit einer sinnlosen Software?
Die Windows-Firewall reicht komplett aus, sie leistet genau das was Software-Firewall im Stande sind leisten zu können. Andere Produkte wie Comodo, ZoneAlarm und wieder ganze Müll heißt sind völlig kontraproduktiv und erhöhen die Fehleranfälligkeit des Systems!

So war auch meine Vermutung der Arbeitsweise der Quarantäne, aber nur sicherhaltshalber fragte ich nochmal nach. Das bedeutet für mich, daß ich das so handhaben kann wie zuvor.

Betreffs der Registry-Bereinigung: Ich lasse keine Programme blind laufen und eventuelle Fünde lösche ich ebenfalls nicht blind. Es gibt Einträge, von denen ich weiß, daß ich die Programme z.B. nicht mehr auf dem Rechner habe oder daß ich diese vielleicht auch drauf hatte. Soll bedeuten, daß ich mich nur an Einträgen vergreife, bei denen ich mir 100%ig sicher bin, daß ein Entfernung schadfrei ist.

Tja und daß das Thema Zonealarm angesprochen wird, habe ich schon erwartet.
Warum ich´s benutze? Weil ich das seit Jahren gemacht habe und nie Probleme auftraten. Hatte also immer das Gefühl, daß die Firewall schützenden Effekt hat.
Ganz im Gegenteil zum Computer meines Bruders, der schutzmäßig anders gefahren ist und nach einer Kontrolle meinerseits einige Viren, Trojaner und sowas sein Eigen nannte. Nach einer Umstellung war dann nichts mehr zu finden/merken. Aber das Thema können wir gern beiseite lassen, da ich mich, nach der momentanen Problemlösung mal wieder hinsichtlich dessen von einem Freund aufklären lassen werde.

Schöne Grüße

Zitat:

Hatte also immer das Gefühl, daß die Firewall schützenden Effekt hat.

Betonung liegt auf Gefühl. :pfeiff:
Dass sie tatsächlich kontraproduktiv sein können und in vielen Fällen auch sind, kann ich von dieser bunten Spielerei nur dringend abraten.

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Zitat:

Zitat von Kanda (Beitrag 704492)

Ich hatte auch vor, den eset-Online-Scan laufen zu lassen, aber bis jetzt hat das Programm es noch nicht geschafft, die Viruscodes runterzuladen ... erstens läuft der Download sehr,sehr langsam und irgendwann kommt es dann zum "Unespected error". Ich habe es auch mit über TM ausgeschaltetem AntiVir und heruntergefahrener ZoneAlarm-Firewall probiert ... ohne Erfolg.

:pfeiff:

Daran hat sich auch immernoch nichts geändert!

Du hast auch beide Browser - IE und FF - getestet? Sind ja Anleitungen zu beiden Browsern da.

Ja, leider kommt auch unter dem Internet Explorer keine vernünftige Verbindung zustande und der Scan läßt sich nicht ausführen.

Du hast ZoneAlarm auch komplett deinstalliert wie empfohlen?

Einen schönen guten Morgen!

Nun, was soll ich sagen. Es geht wirklich nicht ... und ja, ebenso auch mit deinstallierter Firewall nicht. Bitte frage nicht warum, denn das versuche ich ja hier rauszufinden. Ich denke es liegt daran, daß auch das beschriebene Konnektivitätsproblem besteht.
Es passierte während der häufigen Versuche eset zum Laufen zu bringen, daß der Scan zweimal den Finish-Bildschirm zeigte, aber es erstens nicht zu erkennen war, daß alle Codes vollständig runtergeladen waren, da vom 50%-Status gleich zum Scan weitergewechselt wurde und zweitens kam es dazu, daß der Scan keine 2 Sekunden dauerte. Es wurde nichts Schlimmes gefunden, was aber wohl nur daran liegt, daß auch gar nichts untersucht wurde, denn bei gescante Dateien stand 0. Und ja, es waren alle Festplatten ausgewählt.
Mit was soll ich also fortfahren?

Mach bitte -du hast ja ZA deinstalliert - ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So ... hier ist der neue gewünschte OTL-Scan. Eine .txt-Datei habe ich aber wieder nicht gefunden. Wird diese benötigt?

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2004.12.24 06:07:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2011.09.22 23:59:53 | 000,054,624 | ---- | M] () -- C:\WINDOWS\System32\fa664.sys

[2011.09.22 23:59:26 | 002,335,270 | ---- | M] () -- C:\WINDOWS\System32\df563.mht

[2011.10.01 11:55:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs

[2011.09.23 00:31:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ZoneAlarm

@Alternate Data Stream - 96 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C07A6A6B

@Alternate Data Stream - 95 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5C321E34

@Alternate Data Stream - 174 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:ECF3C50F

@Alternate Data Stream - 173 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:587F3582

@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C5DF04A9

@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A76A1B1B

@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1940DBE8

@Alternate Data Stream - 117 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7B212553

@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:83E716F0

@Alternate Data Stream - 114 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:13019F4B

@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FFFCB9A9

@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:78E0DF72

@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:7F66BF58

:Commands

[emptytemp]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo!

Der Fix wurde ausgeführt und nachfolgend bekommst Du auch den Bericht. Außerdem habe ich, weil ich davon ausging, daß es Dich immernoch interessiert, nach dem Fix den eset-Scan durchlaufen lassen, der dann endlich funktionierte und zwei Fünde zeigte.

Schöne Grüße

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hei!

Ich gehe davon aus, daß Du den TDSSKiller meinst?
Was ist eigentlich mit den Fünden bei eset? Soll ich da schon was unternehmen?