Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Agent.cys.3 (https://www.trojaner-board.de/46724-tr-agent-cys-3-a.html)

Methos 07.12.2007 19:52
TR/Agent.cys.3
 
Guten Abend erstmal.
Habe seit ca 3 Tagen einen Trojaner mit Namen TR/Agent.cys.3 auf meinem WinXP.
Das Virenprogramm gibt als Pfad immer C:\Windows\System32\opnkiig.dll an.
Habe schon ein paar mal versucht den Trojaner wegzubekommen, war aber bisher noch nicht erfolgreich.
Hat jemand von euch da ne Lösungsmöglichkeit?

mfg Methos

cosinus 08.12.2007 20:55
Hallo.

Werte die Datei C:\Windows\System32\opnkiig.dll bei Virustotal aus und poste die Ergebnisse. Poste auch mal ein Hijackthis-Logfile. Nimm am besten dazu diese umbenannte hijackthis.exe, dann sehen wir weiter.

kAbUkI_rUlEzZ 08.12.2007 21:51
hallo zusammen

ich habe genau das gleiche problem wie methos

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Methos 09.12.2007 14:28
so hier meine Daten.
Hijack-Logfile:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:07, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
d:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
F:\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {370E1240-6B4D-41E7-8630-0420DBDCCCF5} - C:\WINDOWS\system32\awvvt.dll
O2 - BHO: (no name) - {4884B8A6-0CC4-42D1-8344-6E76A1E6012E} - (no file)
O2 - BHO: (no name) - {B2D2D370-1406-4BA9-8702-0BD96CBD4CBD} - C:\WINDOWS\system32\opnkiig.dll
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Verknüpfung mit ZoneAlarm Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O20 - Winlogon Notify: opnkiig - C:\WINDOWS\SYSTEM32\opnkiig.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2762 bytes


und dann noch virustotal :AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 TR/Agent.cys.3
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 Obfustat.AASN
BitDefender 7.2 2007.12.09 -
CAT-QuickHeal 9.00 2007.12.08 Trojan.Agent.cys
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 Trojan.Virtumod.244
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 Trojan.Win32.Agent.cys
Ikarus T3.1.1.12 2007.12.09 Trojan.Win32.Agent.cys
Kaspersky 7.0.0.125 2007.12.09 Trojan.Win32.Agent.cys
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 W32/Agent.DKSH
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 Trojan.DoS.Win32.Opdos
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 Mal/Generic-A
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.09 -
TheHacker 6.2.9.153 2007.12.07 Trojan/Agent.cys
VBA32 3.12.2.5 2007.12.07 Trojan.Win32.Agent.cys
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Agent.cys.3

mfg methos

cosinus 09.12.2007 17:00
Das neue Logfile offenbart noch mehr ;) Löschen wir zunächst zwei Malwaredateien, die aus dem Logfile ersichtlich sind:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
Files to delete:
C:\WINDOWS\SYSTEM32\opnkiig.dll
C:\WINDOWS\system32\awvvt.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Starte danach den Rechner im abgesicherten Modus und öffne Hijackthis mit der Option Do a system scan only - makiere diese Einträge:

Code:
O2 - BHO: (no name) - {370E1240-6B4D-41E7-8630-0420DBDCCCF5} - C:\WINDOWS\system32\awvvt.dll
O2 - BHO: (no name) - {4884B8A6-0CC4-42D1-8344-6E76A1E6012E} - (no file)
O2 - BHO: (no name) - {B2D2D370-1406-4BA9-8702-0BD96CBD4CBD} - C:\WINDOWS\system32\opnkiig.dll
O20 - Winlogon Notify: opnkiig - C:\WINDOWS\SYSTEM32\opnkiig.dll
und klick unten auf den Butto fix checked - danach Windows wieder neu starten (normaler Modus) und ein neues Logfile erstellen und posten.

Führ auch mal für weitere Analysen diese Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
(Es kann sein, dass der Link zu combofix mal wieder hakelt - wenn ja, dann überspringen wir combofix erstmal...)

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Methos 09.12.2007 18:17
avenger logfile
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hidndoxy

*******************

Script file located at: \??\C:\rvsmbeym.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\opnkiig.dll deleted successfully.
File C:\WINDOWS\system32\awvvt.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hjiackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:19:49, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - Global Startup: Verknüpfung mit ZoneAlarm Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



mfg methos


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19