Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit TR/agent.KT (https://www.trojaner-board.de/14248-problem-tr-agent-kt.html)

Reservoir_Dog 21.02.2005 16:02
Problem mit TR/agent.KT
 
Hallo!
Seit einigen Tagen meldet mir AntiVir andauernd die Existenz von einem Trojaner namens TR/agent.KT, den ich nicht wieder loswerde.
Habe einige Threads zu diesem Thema hier schon gesehen und bitte ebenfalls um Hilfe.

Habe auch bereits im abgesicherten Modus mit eScan gescannt. Die Log-File
ist ellenlang und ziemlich unübersichtlich, da ich alle dateinen gescannt hab.
Dabei wurden aber 5 Infektionen gefunden.
Auch mit HijackThis hab ich im abgesicherten Modus gescannt. Die Log-File ist wesentlich übersichtlicher. Hier die Log-File mit HIjackThis erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 01:07:42, on 21.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Sascha\web-kram\troja-jagd\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tqlwu.dll/sp.html#93214
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {255C0A8C-FFCB-9E14-D824-A3CA6BB01C10} - C:\WINDOWS\system32\winxq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [appvs.exe] C:\WINDOWS\system32\appvs.exe
O4 - HKLM\..\RunOnce: [syshp.exe] C:\WINDOWS\syshp.exe
O4 - HKLM\..\RunOnce: [ntvs.exe] C:\WINDOWS\system32\ntvs.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\ICQ\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\ICQ\Translator.lnk
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/017fffa343b04be...dxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF221A0-2AA4-480C-9DAB-726F62392C67}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF221A0-2AA4-480C-9DAB-726F62392C67}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Kann mir jemand weiterhelfen? Problem ist nämlich, dass ich von PC´s echt wenig Ahnung hab...*schäm*

MfG, Dog

Gigamail 21.02.2005 16:17
Hi,

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Reservoir_Dog 21.02.2005 17:28
Hier die Zusamenfasung des Scan:

Mon Feb 21 14:52:55 2005 => Total Files Scanned: 51526
Mon Feb 21 14:52:55 2005 => Total Virus(es) Found: 5
Mon Feb 21 14:52:55 2005 => Total Disinfected Files: 0
Mon Feb 21 14:52:55 2005 => Total Files Renamed: 0
Mon Feb 21 14:52:55 2005 => Total Deleted Files: 0
Mon Feb 21 14:52:55 2005 => Total Errors: 17
Mon Feb 21 14:52:55 2005 => Time Elapsed: 02:13:07
Mon Feb 21 14:52:55 2005 => Virus Database Date: 2005/02/14
Mon Feb 21 14:52:55 2005 => Virus Database Count: 118236

Mon Feb 21 14:52:55 2005 => Scan Completed.


Hier die Bösewichte:

Mon Feb 21 12:38:53 2005 => Scanning File C:\WINDOWS\system32\winxq.dll
Mon Feb 21 12:39:02 2005 => File C:\WINDOWS\system32\winxq.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

Die 2. der insgesamt 5 Infizierungen kommt aus dem Quarantäne-Verzeichnis von AntiVir (oder?):

Mon Feb 21 12:53:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Feb 21 12:53:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\KAHUU.DLL.VIR
Mon Feb 21 12:53:08 2005 => File C:\Programme\AVPersonal\INFECTED\KAHUU.DLL.VIR infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.

Die anderen 3 der insgesamt 5 Infizierungen scheinen nix mit dem Trojaner zu tnu zu haben (oder?):

Mon Feb 21 12:49:38 2005 => Scanning File C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Sascha\Privat\BSE.exe
Mon Feb 21 12:49:38 2005 => File C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Sascha\Privat\BSE.exe tagged as not-a-virus:Simulator.Win16.CardView. No Action Taken.

Mon Feb 21 12:49:39 2005 => Scanning File C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Sascha\Privat\effects of LSD_1.exe
Mon Feb 21 12:49:39 2005 => File C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Sascha\Privat\effects of LSD_1.exe tagged as not-a-virus:Simulator.Win32.FinjanDemo. No Action Taken.

Mon Feb 21 13:32:37 2005 => File C:\Spiele\Counter Strike\Benaliases 5.5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Soweit schonmal danke! Wie geht es weiter?

Mfg, Dog

chaosman 21.02.2005 18:54
@Reservoir_Dog
beide dateien in den abgesicherten modus löschen
manuell
C:\WINDOWS\system32\winxq.dll

der quarantäne ordner mal leeren
C:\Programme\AVPersonal\INFECTED\KAHUU.DLL.

neu booten, neues HJT logfile posten

chaosman

Reservoir_Dog 21.02.2005 22:08
hab alle 5 dateinen im abgesicherten modus gelöscht und hier ist das neue HJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 20:16:00, on 21.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Sascha\Eigene Dateien\Sascha\web-kram\troja-jagd\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ndswa.dll/sp.html#93214
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {255C0A8C-FFCB-9E14-D824-A3CA6BB01C10} - C:\WINDOWS\system32\winxq.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [appvs.exe] C:\WINDOWS\system32\appvs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [crcv.exe] C:\WINDOWS\system32\crcv.exe
O4 - HKLM\..\RunOnce: [sysgx.exe] C:\WINDOWS\sysgx.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\ICQ\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\ICQ\Translator.lnk
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/017fffa343b04be...dxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF221A0-2AA4-480C-9DAB-726F62392C67}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF221A0-2AA4-480C-9DAB-726F62392C67}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

noch was:
in die favoriten meines internetexplorers haben sich einige schweine-seiten kopiert, die ich nicht loswerde, ebenso wenig wie drei programme, die in der systemsteuerung unter software in der liste stehen: Shopping Wizard, Search Extender und Home Shopping Assistant.
Das hängt mit dem Trojaner zusammen?

MfG, Dog


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131