|
Trojaner TR/Agent.cx45 Hi! Hab haben den Trojaner TR/Agent.cx.45 auf meinem Notebook, wie bereits in einem anderen Tread geschrieben wurde, kommt alle 10 Sekunden eine Warnmeldung im Avira Antivir. Ich habe nun die empfohlenen Schritte befolgt, also zuerst CCleaner dann Malwarebytes-Anti-Malware, es wurde aber nichts gefunden: Code: Malwarebytes' Anti-Malware 1.36Code: Logfile of Trend Micro HijackThis v2.0.2lg sorry, hab das vergessen Code: Adobe Flash Player 10 Plugin |
Hi, das Problem dürfte hier liegen: C:\Users\xxx\AppData\Local\Temp\1416.exe ein Start ist aber nicht zu finden... Daher RSIT&Gmer: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/ * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Danke vielmals für die Hilfe! Teil 1: RSIT Code: Logfile of random's system information tool 1.06 (written by random/random) |
Teil 2: Code: info.txt logfile of random's system information tool 1.06 2009-05-06 12:56:20Code: GMER 1.0.15.14972 - http://www.gmer.net |
Hi, Dein Rechner ist stark veraltet IE6 und SP1 sind nicht mehr up-to-date, unbedingt updaten; Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\Users\Franzi\AppData\Local\Temp\1416.exe
Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Code: Datei 1416.exe empfangen 2009.05.06 15:12:06 (CET) |
Bei den Dateien C:\Windows\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job C:\Windows\system32\DRIVERS\cpqbttn.sys wurde nichts gefunden Code: Datei tcpip.sys empfangen 2009.05.06 15:27:45 (CET) |
avenger.txt Code: Logfile of The Avenger Version 2.0, (c) by Swandog46 |
Liste der Anhänge anzeigen (Anzahl: 1) Anbei befindet sich noch das Bild... |
Hi, geht leider nicht hervor, Prevx vor Avenger abgefahren oder danach? Wenn danach, dann ist es wieder da... dann gibt es versteckt irgendwo einen Loader... auch die tcpip.sys gefällt mir nicht... .....RegisterySearch: Download Registry Search by Bobbi Flekman <http://virus-protect.org/artikel/tools/regsearch.html> und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) 1416.exe in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text chris |
Code: Windows Registry Editor Version 5.00lg christina |
Hi, lassen wir mal Combofix los, den brauchen wir nachher ev. sowieso... Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe chris |
Code: ComboFix 09-05-06.05 - Franzi 07.05.2009 11:51.1 - NTFSx86 |
Hi, Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior) kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!). Code: Registry::(Maustaste loslassen, nennt man "Drag-and-Drop";o). Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log und ein neues HJ-Log... Nachdem das Log im Notepad aufgegegangen ist, erscheint ein Popup Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern. chris |
So, erstmal der ComboFix: Code: ComboFix 09-05-06.05 - Franzi 07.05.2009 16:29.2 - NTFSx86 |
Und das HJLog. Allerdings ist kein Popup erschienen lg Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, got him... Macht nichts (das mit dem Popup)... Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.htm Führe einen Systemscan durch und poste das Ergebnis! Dann noch mal ein neues HJ-Log... chris Chris |
Hey! Kann dir gar nicht genug für deine Hilfe danken... hier noch das ergebnis vom avira-scan: Code: Avira AntiVir PersonalCode: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, wurden die Einträge mit HJ gefixted? Sie sind noch da, da müssen wir noch mal mit Avenger dran... (Heute Abend oder morgen früh...) chris |
Hi, hier die Bereinigungsvorlage für "Searchsettings" Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) |
Code: Logfile of The Avenger Version 2.0, (c) by Swandog46die Dateien sind aber noch vorhanden. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, die ist noch da, Du hast Dir das Teil wahrscheinlich durch PDFCreator mitinstalliert... Interessant ist, wie es die Löschung durch Avenger "überlebt".... http://www.wintotal.at/Tipps/index.php?id=1649 Versuche das Script noch mal im abgesicherten Modus (F8 beim Booten) durchzuführen... chris |
Also in der Liste im Hijackthis sind die Datein nicht mehr vorhanden... also ich kann sie nicht mehr fixieren. lg Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hi, das HJ-Log ist sauber, das sollte es gewesen sein... chris |
Danke, danke, danke dir vielmals!!!! =) lg (bis zum nächsten trojaner ;)) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board