Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Agent.ruo Trojan gefunden (https://www.trojaner-board.de/84237-tr-agent-ruo-trojan-gefunden.html)

DevinXXL 29.03.2010 13:21
TR/Agent.ruo Trojan gefunden
 
Hab mal so einen Trojaner gefunden in :
C:\system Volume Information\_restore{0A73B2AA-3D7D-4222-B167-0CB545072C95}\RP448\A0134857.dll
Hab in Quarantäne verschoben, geht nicht. Hab gelöscht, geht nicht. Hab alles versucht. Seit ich das teil habe geht LAN Netzwerk net mehr, da der PC das net erkennt und wenn ichs einsteck schlägt halt der Trojaner zu. hab echt stundenlang gegooglet find aber nix. Das nervt tierisch. Vorschläge?

cosinus 29.03.2010 22:07
Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

DevinXXL 30.03.2010 13:40
Kay hab mal alles laufen lassen ergebnis:
h**p://www.file-upload.net/download-2392126/Logfiles.rar.html

Hab mit Malwarebytes sämtliche funde gelöscht. Kurz darauf kam die meldung wieder das teil lässt sich nicht abwimmeln:(

BIOTEC 30.03.2010 13:47
Nicht verzagen...das bekommen unsere Spzialisten bestimmt wieder hin...wenn die EXE mal aufgespürt ist, dann startet das Teil auch nicht mehr mit und dann muss man halt mal schauen, was sonst da noch Infiziert wurde!

Ich schätze mal, das nächste was Cosinus nun probiert ist Combofix...aber warte ab, bis er dir die Anweisung gibt...nicht eigenständig handeln, das verschlimmert nur alles!

EDIT: Also ich hab grade mal das hier gefunden:

Zitat:
Trojan.Renos is the latest malware you should look out for. Being a form of a Trojan infection, Trojan.Renos will enter into a computer system covertly, to perform the function it was designed to do: to download and install additional and various malware, badware, adware, etc, so as to ensure that the Trojan, as well as the hacker in control of this whole operation, are equip with the full control of the infiltrated machine

Trojan.Renos, also referred to as Trojan.Renos.G and Trojan.Renos.M, allows for a hacker from a remote location to change the infiltrated systems’ settings, delete important files, steal passwords and watch the user’s computer activity.

Infiltration methods used frequently by Trojan.Renos are as follows:
• Email: via email attachments, Trojan.Renos will enter into a system, disguised as a small file, for example: a jpeg or might be downloaded via a website or FTP.
• Websites: Many Trojan infections will exploit browser security vulnerabilities
• Open-Ports: Programs which allow for file-sharing functions, e.g. AIM, MSN messenger, are at risk of being used to install these nefarious infections, as it may ensure the hacker has remote control over the computer in question.

Trojan.Renos is designed to open up large security exploits through which hundreds of malicious adware and spyware will be able to infiltrate a system. In addition, Trojan.Renos opens a backdoor that allows the remote attacker to get full control over the infected computer.

This in turn leads to the hacker having full access to the user’s financial or banking information stored on the computer. Obviously this puts the user’s personal information in severe jeopardy and represents a serious security risk.

Trojan.Renos is particularly damaging to a computer system, once it has fully embedded itself within the PC’s system, therefore it is given a high priority security risk status by many computer analysts.

cosinus 30.03.2010 14:02
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
files to delete:
C:\WINDOWS\system32\drivers\kbdqisvl.sys

drivers to delete:
kbdqisvl
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

9.) Ein OSAM Log posten

DevinXXL 30.03.2010 14:37
So hab hier die Logfiles. Hab sie als .rar Archiv angehangen, da sie zu groß wären, um sie hier zum posten.
h**p://www.file-upload.net/download-2392300/osam.rar.html

cosinus 30.03.2010 14:57
Was ist mit der backup.zip?

DevinXXL 30.03.2010 16:47
Sorry hab die ganz vergessen:
h**p://www.file-upload.net/download-2392618/backup.zip.html

cosinus 30.03.2010 17:48
Hallo und :hallo:

Code:
[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"kiehptkj" (kiehptkj) - ? - C:\WINDOWS\System32\drivers\jiwtejni.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"rseb" (rseb) - ? - C:\WINDOWS\system32\drivers\rseb.sys  (File not found)
Die nochmal mit OSAM deaktivieren.
Wie verhält sich das System jetzt?

DevinXXL 30.03.2010 19:06
Bis jetz alles ganz okay keine virenmeldung wenn ich ins Internet/Netzwerk gehe und sachen lassen sich nahezu problemlos löschen keine ahnung obs was gebracht hat, aber ich denke es hat viel gebracht^^ Danke

DevinXXL 31.03.2010 14:50
Zitat:
Zitat von DevinXXL (Beitrag 512886)
Bis jetz alles ganz okay keine virenmeldung wenn ich ins Internet/Netzwerk gehe und sachen lassen sich nahezu problemlos löschen keine ahnung obs was gebracht hat, aber ich denke es hat viel gebracht^^ Danke
Hab mich getäuscht hab zwar keine Virenmeldung mehr und ich konnte problemlos mit viel höherer geschwindigkeit wieder hochfahren, hab aber sogar dann bis zu 60% CPU-Auslastung wenn ich internet explorer aufmache...
bei 2X3,0Ghz hab ich so viel gerade einmal, wenn ich 3 Spiele auf einmal spielen würde hab normalerweise wenn ich den explorer aufmache max. 5%
Liegt das daran?

cosinus 31.03.2010 14:59
Welcher prozess erzeugt die Last?

DevinXXL 31.03.2010 18:01
Leerlaufprozess/taskmgr.exe (taskmanager selber)

cosinus 31.03.2010 19:30
Du musst auf die Gesamtlast mal achten. Je höher die "Auslastung" des Leerlaufprozesses, desto weniger macht die CPU ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131