|
tr/agent.cs Hey leute, ich habe das Programm Antivir. Es hat den trojaner tr/agent.cs erkannt. Er sitzt in der Datei C:\WINDOWS\Web\printers\msmp3.dll Ich habe einiges probiert, AntiVir, Spybot - Search & Destroy, konnte aber nichts ändern, da die datei msmp3.dll in windows geladen wurde. Also habe ich meine Registry ausgeräumt und alles aus dem Autostart gelöscht. Ich habe auch die Registry nach msmp3 durchsucht und 3 einträge gefunden die zu der datei verweisen. Ich dachte mir also, ich könnte die einträge löschen und dann den Trojaner los werden. Ich kann die einträge aber nicht löschen. Ich bin jetzt am verzweifeln und denke über systemwiederherstellung nach. Falls mir jemand helfen kann, danke jetzt schon mal sehr. Gruß Dj.excellence |
Zitat:
starte dann den pc in den abgesicherten modus, es LADET sich kaum etwas mit, du kannst in diesem modus infekte daten löschen. (mit dem scanner nocheinmal durchscannen.) |
Habe ich probiert, aber die Datei wird von Windows anscheinend auch im abgesicherten Modus geladen, ich kann sie einfach nicht löschen. |
hey, solltest du keinen erfolg bislang gehabt haben: wie lautet die meldung im abgesicherten modus wenn du diese datei löschen willst? wenn du die datei gefunden hast, lade sie doch einmal zur weiteren überprüfung hier hoch und sende sie ab: http://www.virustotal.com/flash/index_en.html wird sie auch von anderen scannern als infected gemeldet, dann lade dir das kleine tool HiJackThis und scan in sekundenschnelle, und poste dann den log-bericht hier ins forum. wie du vorgehst ist hier bebildert erklärt: http://www.trojaner-board.de/51130-a...ijackthis.html ich vermute aber auch eine Tr/Vundo infection... wird von scannern nach dem upload der name VUNDO gemeldet...verwende dieses tool von symantec gegen Tr/Vundo http://snipurl.com/elr0 |
Hallo Ich habe auch den Trojaner Tr/agent.cs. Antivir hat ihn in der Datei accw.dll lokalisiert. Diese Datei befindet sich in C:\WINDOWS\Help. Antivir, "Killbox", Spybot - Search & Destroy und NOD32 konnten sie nicht löschen und im abgesichertem Modus konnte ich sie auch nicht löschen. Es folgt der log-Bericht von Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 17:18:54, on 03.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WZCBDL Service\WZCBDLS.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Eset\nod32kui.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Standard\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Help\accw.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: °Ù¶ÈËÑË÷°é - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O11 - Options group: [!IESearch] !IESearch O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/IESearch.cab O20 - Winlogon Notify: accw - C:\WINDOWS\Help\accw.dll O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe Ich hoffe, dass jemand damit etwas anfangen kann. Bitte helft mir, bin total verzweifelt. Danke im voraus Yann |
Ach ja. Eins hab ich noch vergessen: Wenn ich die Datei per Email als Dateianhang zu scan@virustotal.com schicke liegt die Größe unter 1 kB. Ich kriege dann die Antwort: Codification base64 Unsupported or malformed attached file codification (Response to a message sent on Tue, 3 May 2005 17:27:08 +0200 (MEST)) Im Windows explorer steht 410 kB. Wenn ich sie direkt von der virustotal homepage aus schicke kommt eine Meldung, die besagt, dass die Datei über 2 MB groß ist und dass ich sie per Email schicken soll. MfG Yann |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board