|
Win32:Agent-UBX(Trj) Liste der Anhänge anzeigen (Anzahl: 1) hallo! avast hat heute beim starten des rechners folgenden trojaner gefunden win32:agent-ubx(trj). dateiname usw. siehe bild. den trojaner konnte ich in den virus container verschieben. ich konnte bis jetzt noch keine einschränkungen meines systems feststellen. wie soll ich am besten mit dem trojaner weiter verfahren? was hat er in meinem system angestellt? im www oder in der suchfunktion habe ich keine beiträge zu dem trojaner gefunden. (zumindest auf deutsch) Code: Logfile of Trend Micro HijackThis v2.0.2Code: iclean log 03.04.2008 22:53:11über eure hilfe freut sich urmel :) |
guten morgen, ich hab jetzt escan über die nacht laufen lassen und der hat folgendes ausgespuckt. Code: |
|
hi, ich hab vor deiner nachricht, selber nochmal gegoogelt und raus gefunden das mein trojaner vom FlashGet 1.9 verbreitet Trojaner ist. darauf hin hab ich das programm gelöscht in der auch die nachfolgende datei enthalten war (inapp6.exe) >>>>>>>>Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe<<<<<<<< >>>>>>>>Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll<<<<<<<< hat avast erkannt und in den kontainer verfrachtet. ich habs dann gelöscht. die datei (msfont.dll) im virenkontainer von "avast" hab ich gelöscht, ist aber irgendwie wieder aufgetaucht und läßt sich jetzt nicht mehr löschen. nach dem löschvorgang hab ich escan im abgesicheten modus nochmal laufen lassen. auswertung ist unten aufgeführt. als ich dann in den normalen modus gewechselt hab, kamen fehlermeldungen das aktiv x beendet wurde weil ein programm(name wurde nicht angezeigt) es jetzt verwendet, genauso war java betroffen. seit dem starten die programme langsamer oder garnicht mehr. so dann hab ich deine liste abgearbeitet. malwarebyet hat einwandfrei funktioniert, nur combofix lief nur im abgesicherten modus, denn im normalmodus ist es einfach stehen geblieben. Code: Malwarebytes' Anti-Malware 1.10Code: ComboFix 08-04-03.5 - Administrator 2008-04-05 0:14:42.2 - NTFSx86 NETWORKCode: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
morgen urmel Bitte lösche nicht einfach dateien von denen du nicht weisst was sie sind:headbang: löschen ist nicht = löschen:) C:\system volume information........ kannst du einfach mit dem deaktivieren der Systemwiederherstellung wegbringen:daumenhoc Dafür gehst du mit rechtsklick auf den Arbeitsplatz wählst dort Eigenschaften und dann Systemwiederherstellung deaktivieren das häcklein setzen neustarten und das häcklein wieder herausnehmen. Bitte folgende dateien hier oder hier online scannen lassen(report bitte posten): C:\WINDOWS\system32\drivers\aswSP.sys C:\WINDOWS\system32\drivers\aswFsBlk.sys C:\WINDOWS\system32\aswBoot.exe C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe eScan hat diese datein ja als Malware erkannt also lösche diese bitte:daumenhoc Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ONYLTZHT\appG[1].cab/inapp6.exe infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0038882.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Datei C:\System Volume Information\_restore{DAD8331E-8F0D-4DDA-B5B1-70554FC59EC9}\RP162\A0039243.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Datei C:\WINDOWS\system32\msfont.dll infiziert von "Trojan-Downloader.Win32.Agent.kht" Virus. Bitte wende auch noch CCleaner an:daumenhoc |
Zitat:
Zitat:
so dann mach ich mich mal gleich an die anderen aufgaben. gruß |
sry mein Fehler:headbang: |
ist ja nichts passiert.:) C:\WINDOWS\system32\drivers\aswFsBlk.sys Code: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung ErgebnisCode: Antivirus Version letzte aktualisierung Ergebnis |
Konntest du die von eScan gefundenen Dateien löschen?? Wenn nicht versuche es mit KillBox (link in meiner Signatur). Hast du das mit der Systemwiederherstellung schon gemacht? Versuche bitte die Datei "C:\WINDOWS\system32\msfont.dll" mit KillBox und der Einstellung "Delete on Reboot" zu löschen:daumenhoc Meldet dein avast immer noch den "Win32:Agent-UBX(Trj)"? Bitte lass nun auch mal SmitFraudFix laufen. |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
hab im moment nochmal escan im abgesicherten modus drüber geschickt, report leg ich dann noch bei. danke für deine mühen gruß |
Sehr gut:daumenhoc Das wollte ich dir gerade vorschlage versuche die "gelöschten" Datein zu finden und lass eScan nochmals laufen:daumenhoc Bitte poste auch noch ein neues HiJackThis Logfile;) |
so ich hab bei dem report die host weg gelassen, ich hoffe du brauchst sie nicht. Code: SmitFraudFix v2.309escan abgesicherter modus reprot, vor dem verwenden von SmitFraudFix Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ hijack nach escan und SmitFraudFix Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo lass bitte mal diese Datei Zitat:
oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.4.1 2008.04.04 - AntiVir 7.6.0.81 2008.04.04 - Authentium 4.93.8 2008.04.05 - Avast 4.7.1098.0 2008.04.04 - AVG 7.5.0.516 2008.04.05 - BitDefender 7.2 2008.04.05 - CAT-QuickHeal 9.50 2008.04.05 - ClamAV 0.92.1 2008.04.05 - DrWeb 4.44.0.09170 2008.04.05 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5672 2008.04.04 - Ewido 4.0 2008.04.05 - F-Prot 4.4.2.54 2008.04.05 - F-Secure 6.70.13260.0 2008.04.05 - FileAdvisor 1 2008.04.05 - Fortinet 3.14.0.0 2008.04.05 - Ikarus T3.1.1.20 2008.04.05 - Kaspersky 7.0.0.125 2008.04.05 - McAfee 5267 2008.04.04 - Microsoft 1.3408 2008.04.05 - NOD32v2 3004 2008.04.05 - Norman 5.80.02 2008.04.04 - Panda 9.0.0.4 2008.04.05 - Prevx1 V2 2008.04.05 - Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.05 - Sunbelt 3.0.1032.0 2008.04.05 VIPRE.Suspicious Symantec 10 2008.04.05 - TheHacker 6.2.92.265 2008.04.04 - VBA32 3.12.6.3 2008.03.25 - VirusBuster 4.3.26:9 2008.04.04 - Webwasher-Gateway 6.6.2 2008.04.04 Win32.Malware.dam (suspicious) weitere Informationen File size: 6144 bytes MD5...: 850ba7cda87e4f5a52364427e0e1303a SHA1..: fbbb50adc57855559440c4db62e15944da2b8207 SHA256: 58adbb849a320a43ebb30136e18dfd40b5d0788228fb0d6b9083645264b495ba SHA512: af94a465a99b9ef96a21cb636fde6fe4129df730aa6561ab73f6cd0028cfb707 f33e39150ac49645512a865f75dc116a5bdfcb5ae5dd9909a845ad1665c27d39 PEiD..: - PEInfo: PE Structure information [/CODE] |
Zitat:
Code: Dateiname : msmmas.dll |
Hallo lade die Datei bitte mal hier hoch Submit your sample du wirst per Mail in wenigen Tagen informiert was sich hinter der Datei verbirgt und ob sie Schadcode enthällt. Schicke die Datei auch an Avast die Adresse findest du hier http://www.trojaner-board.de/19273-v...einsenden.html dort findest du auch Hinweise wie die Datei zu versenden ist. Bis dahin würde ich so wenig wie möglich Zeit Online verbringen. Poste dann bitte das Ergebnis von Avira. EDIT : Von Avast wirst du wohl auch hören;) MFG |
hallo. Zitat:
gruß |
puh jetzt hab ich die datei gepackt, aber wie man die mit einem passwort versieht weis ich nicht. kann ich die auch so verschicken? sorry wenn ich jetzt blöd frag aber, ist es normal wenn man eine datei packt dass sie dann aus dem verzeichnis verschwindet? ich habe gedacht da wird eine kopie erstellt und die kopie dann gepackt. |
Moin die Packprogramme bieten i.d.R. eine Option zum Passwort erteilen, müssen aber eventuell gesucht werden. Wenn dein Programm diese Option nicht bietet, schreibe (in englisch?) es in der E-Mail, dass die Datei ohne Passwort gepackt ist. MFG |
moin, ich habs mit dem totalcom. gepackt. anscheinend bin ich blind, da ich die taste für das passwort nicht gefunden hab. ich habs gestern so losgeschickt. bestätigungsmail hab ich erhalten + link wie und wo es bearbeitet wird. wenn du möchtst kann ich dir es per pn zukommen lassen. gruß |
Moin Zitat:
MFG |
hallo, heute ist schon die erste meldung gekommen.:daumenhoc Code: Sehr geehrte Dame, sehr geehrter Herr,Produkts nicht enternen.<<<<< verstehe nicht was genau damit gemeint ist. gruß |
hallo, ich bin grad mal durch "regedit" gegangen um nach diesen dateien/einträgen zu suchen (vom escanlog) Offending Key found: HKCU\Software\kazaa !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!! hklm\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com hklm\software\microsoft\windows\currentversion\run/icq lite ich habe alle gefunden, wäre es nicht besser diese zu löschen? also in der registrierung. was mich wundert ist, dass ich "kazaa" nie auf meinem system installiert hatte. |
moin allerseits, so ich hab heute nochmal auf die links geschaut die ich von avast bzw. avira bekommen habe. auf bei den war die oben(zwei vorher) genannte meldung zu lesen. wie machen wir jetzt weiter? gruß |
mittlerweile bekomme ich beim versuche den arbeitsplatz oder den windows-explorer die meldung >>>>rundll fehler c:\windows\system32/shell32.dll unzulässiger zugriff auf einen Speicherbereich<<<< nach dem neustart des pc´s ist alles wieder in ordnung, bis er einige zeit gelaufen ist. dann geht das selbe wieder von vorne los. des weiteren werden die sicherheitseinstellungen für das internet verstellt. ich stell sie wieder richtig ein. nach dem dritten oder vierten computerneustart sind sie wieder verstellt. gruß |
Um hier mal eine gewisse Übersicht zu bekommen, mach bitte mal folgendes: Erstellung eines Hijacklog
ComboFix
|
hallo, Code: Logfile of Trend Micro HijackThis v2.0.2combofix läuft nicht mehr, bzw. läßt sich nicht starten auch nicht im abgesicheten modus. habe nur den log von gestern zur hand, wenn der dir auch reicht, hatte da combofix auf eigene faust nochmal rüber laufen lassen. Code: ComboFix 08-04-03.5 - Andreas 2008-04-07 13:55:39.4 - NTFSx86 |
Dateien Online überprüfen lassen:
Zitat:
Malwarebytes' Anti-Malware
|
so erstmal das hier, malwarebytes läuft grad noch. Code: Datei Burn4Free_Toolbar.dll empfangen 2008.04.08 20:36:07 (CET)Code: Malwarebytes' Anti-Malware 1.11 |
moin, mir ist ein fehler unterlaufen, ich habe nochmal versucht combofix zu starten. also habe ich erstmal den ordner von combofix auf c gelöscht um kombofix erneut zu starten. hat nicht geklappt. darauf hin hab ich die erneut erschienen datei von combofix auf c gelöscht und weiter einträge von combofix per "suchfunktion" gesucht und gefunden. da habe ich aber nur die logs gelöscht. tja zu guter letzt hab ich dann ccleaner laufen lassen um fehler bereinigen zu lassen. pc neu gestartet und jetzt kommts, beim laden der programme die so auf dem desktop laufen (icq, avast usw.) hat spybot mir angezeigt das von avast und combofix eine datei gelöscht wurde und ob ich das erlauben will. leider hab ich das bestätigt.:crazy::headbang: so nun fehlt unten rechts das symbol von avast in der taskleiste und bei jedem neustart des pcs wird der arbeitsplatz und platte c geöffnet. bitte :snyper: mich nicht:( die datei von avast hab ich schon in hijacklog gefunden C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe gibts ne möglichkeit die wieder zu bekommen? gruß |
was lange währt, wird endlich gut! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board