Trojaner-Board - werde TR/Agent.87040.l nicht los

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - werde TR/Agent.87040.l nicht los (https://www.trojaner-board.de/61420-tr-agent-87040-l-los.html)

werde TR/Agent.87040.l nicht los

hi
ich habe das problem dass ich TR/Agent.87040.l nicht los werde. antivir zeigt mir immer drei warnungen. wenn ich auf löschen gehe erscheit es gleich wieder. seit dem öffnet sich rechts unten neben der uhr immer ein fenster in dem steht ich habe ein securty problem und versucht mich zu einer webseite weiter zu leiten wo ich ein prgramm runterladen soll. was ist dass, kann mir jemand helfen.
in C:Users/Benutzer/AppDAta/Local/Temp/a.exe soll dass problem liegen. macht bitte schnell der pc spinnt immer stärker. hab soeinen aggresiven wurm noch nicht gesehen. der legt den pc lam.

Wenn diese Datei schädlich ist...dann check die datei mal durch ;)

http://www.virustotal.com/de/

und schick einfach den link der dann rauskommt...!der kann vllt wieterhelfen!

das problem ist dass ich diese datei nicht finden kann?

hast du shcon versucht den pfad bei dir einzugeben? Beim arbeitsplatz z.b.?wenns net geht.. der trojaner muss ja aus irgendeiner datei stammen..wenn dud ie datei noch hast check sie mal unter virustotal.com durch..weiss net ganz ob der agent jetzt en spyware oder soagr en phisher ist..?!?

ja ich habe es schon suchen lassen findet aber leider nix. komischer weise werden es immer mehr trajaner die er auf einmal findet. langsam wird es unheimlich. hab echt keine ahnung was ich noch tun soll. hab erst vor einer woche formatiert und alle windowa updates drauf geladen und jetzt dass

hmmm.....also ich würd einfach alles extern abspeicher dvd,cd oder andere festplatte und das system neu draufspielen....wenn du immer mehr findest müsste der agent schon ziemlich wiet seinund wenn du sagst das es sich um einen wurm handelt dann ist es eh zu spät weil der frisst immer mehr daten auf... und irgendwann kannst du den pc nicht mehr starten...(eigene erfahrung ;))kannst zwar noch auf andere antworten warten aber keine panik bekommen...es gibt immer eine lösung

alles klar hoffe es meldet sich jemand der mir helfen kann. ich habe ein hijackthis log ins forum gestellt falls ´´sich jemand auskennt

Ich klink mich auch mal ein, weil ein Freund von mir fast das gleiche Problem hat wie du.

Ich würde erstmal wie folgt vorgehen:

HijackThis -Log posten
Download

Anleitung:

Hijackthis installieren

Programm ausführen

Auf "Do a systemscan and save logfile" klicken

Nach kurzer Zeit öffnet sich der Editor
- Den Inhalt hier posten

(Hier die detaillierte Anleitung dazu)

Lass dann dein AntiVir einen Komplettscan mache und poste den Report hier.

Danach --> Versteckte Dateien und Ordner sichtbar machen:

Explorer öffnen

In der Menüleiste auf "Extras" und dann auf "Ordneroptionen" klicken

Im Reiter zu "Ansicht" wechseln

Zum Punkt "Versteckte Dateien und ordner" scrollen
- Dann auf "Alle Dateien und Ordner anzeigen" klicken

Dann müsstest du auch diese "a.exe" finden und auch hochladen können.

Gruß
Handball10

:alc::hallo::party:

/EDIT

Wenn du nichts sinnvolles zu diesem Thema beitragen kannst, dann halte dich einfach mal zurück und schreib einfach gar nichts!

Danke :cool:

hier der logfile vielleicht kann mir da jemand ja was dazu sagen. habe auch die exe gefunden. wie kann ich sie hochladen damit sie sich jemand ansieht?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:17, on 07.10.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{387C945E-D915-4A6F-9A0E-401C10C0789B}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{387C945E-D915-4A6F-9A0E-401C10C0789B}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6952 bytes

habe diese exe gefunden. wie kann ich die hochladen dass sie sich jemand ansieht?

Moin,

lass die Datei bei Virustotal überprüfen (Link)

http://www.hsg-dutenhofen.de/Test/be...ung_vtotal.jpg

in das Textfeld (NR. 1) fügst du folgendes ein:

Code:

C:Users/Benutzer/AppDAta/Local/Temp/a.exe

und dann klickst du auf "Senden der Datei" (NR. 2)
Falls kommt, dass die Datei bereits analysiert wurde, klicke auf "Analysiere die Datei".
Poste anschließen den Link in der Adresszeile.

Danach mach noch einen Vollscan mit Avira AntiVir und poste den Rappot.

Gruß
Handball10

hi habe diese datei gefunden und gelöscht. das war ein ding der übelsten sorte. nicht empfehlenswert. das ding sieht aus wie das schutzschild von der windows firewall. Nur etwas dünner. das ding macht selbstständig das internet auf und versuch ständig deine festplatte zu scannen, und öffnet den downloadmenager, und will eine datei downloaden. er lässt selbstständig alle trojaner zur tür rein die es gibt. dieser trojaner wird nicht vom antivier gelöscht, und lässt sich im systemstart nicht abschalten. also wenn ihr den trojaner habt, dann schnell sein sonst gute nacht. viel spaß

Moin Iromatic

ich hatte gestern mal die Datei bei Kaspersky eingesendet... wird jetzt auch von denen gefunden. :rolleyes:

Auch wenn das Ding nicht von AntiVir erkannt wird, mach mal einen Vollscan und poste den Report.

Anschließend mach bitte einen Vollscan mit MalwareBytes Anti Vir
(Hier die genaue Beschreibung)

Poste anschließend auch diesen Report und anschließend noch ein frisches Hijacklog.

Gruß
Handball10