AntiVir Guard meldet Trojaner TR/agent.4699961
 

Hallo!
Ich hoffe ihr könnt mir weiterhelfen..
ich habe mir wohl einen Trojaner eingefangen und seitdem ist mein PC ziemlich lahm gelegt, wobei ich hoffe, dass mein PC nicht wieder plötzlich abstürzt und es formatiert werden muss.

HJT Report:



Und bei AntiVir steht:
Die Datei 'C:\Programme\myphotobook-Setup.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.4699961' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Ein Protokoll ist noch nicht vorhanden (AntiVir sucht schon seit über 10 Std.!)


Und hier:

Logs von Antimalewarebytes






Wie werde ich diesen Trojaner los? Ach und ich wollte fragen, wie ich überprüfen kann, wo genau ein Prozess läuft, sodass man weiß, ob es nun schädlich ist oder nicht (wegen der HJT Logfileauswerung)
Vielen Dank im Voraus..

Eure Corazon007 :daumenhoc

Nun, hier ist der Report von AntiVir



Wie schaut's aus? Muss ich mir Sorgen machen? :confused:
Ich wäre euch sehr dankbar, wenn ihr mir helfen könntet :)

Hi
Wie ich sehe, hast du dich mit einem ZBot (erkennbar an diesem Ordner und der ntos.exe) gekämpft, lieg ich da richtig?

Ja, genau. Ich hab's versucht mit Malwarebytes zu löschen und gerade hab ich erneut Malwarebytes gestartet und mal schaun, was dabei draus kommt..

Also nun enthalten C:\Programme\myphotobook-Setup.exe und
C:\System Volume Information\_restore{8D2E9054-E74D-424A-AADB-534EE6D75944}\RP396\A0029288.exe
die Viren? Wie geht's jetzt weiter?

Es würde nichts bringen, wenn ich beispielsweise myphotobook löschen würde, oder?

Und wieso konnte C:\pagefile.sys nicht durchsucht werden? :S
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Leider versteh ich nicht viel vom PC :schmoll: Deshalb wäre ich für eine Aufklärung sehr dankbar :)

Hallo Corazon
Ich greife da einfach @Dark Viruz vor.
Durch diesen ZBot ist dein System nicht wieder in einen vertrauenswürdigen Zustand zu versetzen. Deshalb gibt es nur den einen Ratschlag: Da hilft nur ein Neuaufsetzen nach der Anleitung.
Was ich noch vergessen hatte. Alle Passwörter, die du verwendet hast sollten umgehen auf einem sauberen PC geändert werden und wenn du Onlinebanking gemacht hast, verständige deine Bank.

oh nein :heulen::heulen:
könnte ich denn meine Datein u.a Musikdatein sichern und nach dem Neuaufsetzten draufpacken, oder sind die schon infiziert?

Auch die Passwörter von meinen (Email-)accounts beispielsweise von msn messenger etc.? :eek:

Kannst du.
Am besten mit einer Live-CD wie Knoppix. Einfach von der CD booten und deine Bilder und Lieder auf eine ext. Platte oder USB-Stick packen. ;)
Wenn du Passwörter in dem Zeitraum benutzt hast, wo dieser Schädling aktiv war, sind diese als bekannt anzusehen.

Mache dich in Zukunft mit einem Image-Programm wie Acronis True Image bekannt.
Damit kannst du ein Image von einem sauberen System erstellen und dies im Notfall (wie dieser hier) bequem zurückspielen.
Erspart viel Arbeit und Nerven. ;)

In welchem Zeitraum denn? Dieser Schädling ist immernoch aktiv, oder?
Also als ich mir diesen Schädling eingefangen hab (ist nicht so ganz lange her)
wurden keine neuen Passwörter oder Accounts eingerichtet..
auch wenn, bringt's was, wenn ich die Passwörter einfach ändere?


Ist das sowas wie eine Systemwiederherstellung? Geht das nicht auch bei Windows unter Systemsteuerung > [..] Systemwiederherstellung oder worin unterscheidet sich das vom Image-Programm?

Mensch, jetzt muss ich wohl tatsächlich neu aufsetzten..
Das kann heiter werden :headbang:

Es geht hierbei nicht um die Erstellung eines Passwortes. Es geht um die Anwendung. Auch wenn die Passwörter irgendwo auf der Platte gespeichert sind.
Natürlich reicht dann die Änderung des Passwortes, aber von einem sauberen PC aus.

Ich verstehe. Danke :)

Was würde eigentlich passieren, wenn ich den Rechner nicht umgehend formatiere? :confused:

Inwiefern unterscheidet sich eine Live-CD von einer CD-Rom? :confused:
Könnte man die Datein auch komprimieren? Schon alleine ~9GB Musikdatein müsste ich noch abspeichern.. :eek:

Wie sollte ich dabei vorgehen und müsste ich etwas beachten, wenn ich die Datein auf den sauberen Rechner übertrage? :dummguck:

Wäre es eigentlich möglich, wenn ich die Festplatte teile, meine wichtigen Datein in D: abspeichere und anschließend C: formatiere??

Hier mehr zu Acronis True Image => Klick
Von der Live-CD kannst du booten. Sowas hat übrigens Acronis auch. ;)
Wenn du auf D: nur Musikstücke und Bilder, bzw. Textdokumente hast, brauchst du diese nicht formatieren. Außnahme bildet die Infektion von Autorun-Würmern.

Von dieser CD kannst du booten (Linux OS), und von der hast du dann Zugriff auf deine Festplatte.
Nun schließt du deine externe Platte oder USB-Stick an und kopierst deine Datein einfach drauf.

mfg

Danke für die schnelle Antwort :)

Würde es sich bei meinem Problem lohnen, wenn ich die Festplatte zunächst teile [..] und dann erst C: formatiere, oder spricht etwas dagegen?
Wäre das sehr aufwendig im Vergleich zum alleinigen Neuaufsetzten? :confused:

Wird kompliziert.
Allerdings. :daumenhoc

Leider verstehe ich nicht, wie ich vorzugehen habe:(
Was genau bedeutet eigentlich booten, sodass eine Live-CD erforderlich ist?
Bisher habe ich meine Datein in Ordner getan, dann auf eine herkömmliche CD-Rom draufgepackt und schließlich (nach dem Formatieren) in "eigene Datein" kopiert :confused: :dummguck:
War das bisher falsch? :confused:

Wenn du deine Daten auf CD brennst ist das natürlich auch ok.
Es wird nur nicht so gern gesehn, da es Leute gibt, die ausführbare Dateien mitsichern. Deswegen.

Wenn du deinen Rechner anschaltest und er hochfährt, nennt man das den Bootvorgang ;)

Ups..das hab ich bis jetzt auch immer gemacht :eek:
Ist das schlimm?
Erfordert das mehr Speicherplatz, wenn ich alles normal auf CD brenne?
Ich habe viele Datein (Musik u.ä), die ich sichern müsste, wäre dann die Live-CD empfehlenswerter?

achso, danke :Boogie:


Ich bin gerade dabei, mir etwas Speicherplatz zu erschaffen und lösche somit einiges..Sollte ich myphotobook deinstallieren? :confused:

In diesem Fall ist es nicht schlimm, ich denke auch nicht das sich Autorun-Würmer mitspeichern.
Was ist das? :D

:D :D
Das ist irgendein komisches Programm, womit man sich ein Fotobuch erstellen kann..(von meiner Schwester downgeloadet!)
Anschließend wird die Datei hochgeladen und man bestellt sich das Fotobuch.

Also MalewareBytes hatte folgendes gefunden, deshalb frag ich, ob ich es löschen sollte..

C:\Programme\myphotobook-Setup.exe
[FUND] Ist das Trojanische Pferd TR/Agent.4699961
[HINWEIS] Die Datei wurde gelöscht.


:confused::confused:

Du meinst wohl Avira, nicht MalwareBytes. :D
Es ist bekannt, das Avira diverse Setups anmeckert, du kannst das Programm deinstallieren wenn du willst. ;)

Stimmt, Avira war's :D
Vielen Dank für deine Hilfe :)

Kein Problem ;)

Wenn du sonst keine Probleme mehr hast,

schönen Abend noch. :party:

Ohje, da bin ich nochmal :D

Ich hab vorhin mit Malwarebytes und Avira "system32" untersucht und da wird nichts als infiziert angezeigt ôo


HJT

Was ist denn jetzt mit dem Zbot? :confused: :headbang:
Menno, ich will nicht Neuaufsetzeeeen müssen :heulen:

Vollständiger Suchlauf mit Malwarebytes:

Häh? Wie kommst du auf ZBot?

ZBot war beim ersten oder zweiten MalewareByte Scan erkennbar :sword2:

Hast du da nicht zwischenzeitlich neuaufgesetzt? :eek:

Nein, leider noch nicht -.-
Erst wenn mein Bruder vom Urlaub wiederkommt..
ansonsten hab ich niemanden in meinem Umfeld, der auch nur nen Hauch vom PC versteht..alleine trau' ich mich nicht an die Sache :S

Na dann, Lust auf ein bisschen Analyse bis dahin? :D

Was darf ich unter Analyse verstehen? ^^ :dummguck:

Ob bei dir evtl. noch was schlummert. ;)
Neuaufsetzen seh ich trotzdem als Pflicht an.

okay :schmoll:
womit soll ich anfangen? :D

besser gesagt..wie soll ich vorgehen? :rolleyes:

Hallo,

ich springe mal für den temp. verhinderten Dark Viruz ein ;)

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight ausführen und Logfile posten

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

5.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Erstmal danke für die schnelle Antwort :)

Kann ich alles gleichzeitig ausführen lassen oder nacheinander?
Muss das im abgesicherten Modus geschehen oder ist das egal?

Die Hinweise zu ComboFix machen mir irgendwie Angst.. :snyper:
Kann man das eventuell weglassen? :schmoll:

Warum denn gleichzeitig? Wie kommst Du darauf? Nat. alles Schritt für Schritt ausführen. :rolleyes:
Combofix kannst Du erstmal weglassen wenn Du das nicht willst.

also Blacklight hat nichts gefunden..
bis mbr fertig ist dauerts noch :eek: