Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner gefunden [XP]: TR/Agent GX 536 und TR/Swisyn.aiev (https://www.trojaner-board.de/87928-trojaner-gefunden-xp-tr-agent-gx-536-tr-swisyn-aiev.html)

markusg 11.07.2010 17:24

microsoft bietet das folgende an:
How do I reset Windows Update components?
und instaliere:
How to obtain the latest version of the Windows Update Agent to help manage updates on a computer
gib mir bescheid ob es hilft.

gunbe 12.07.2010 22:30

Der 'Fix' unter
How do I reset Windows Update components?
ist zwar durchgelaufen und hat auch das Automatische Update wieder eingeschalten, aber die Fehlermeldung ist nach dem Neustart trotzdem wiedergekommen.

Zumindest erscheint aber nun *nach* Abschalten des Automatischn Updates die Fehlermeldung nicht mehr.

Der Link auf der Seite
How to obtain the latest version of the Windows Update Agent to help manage updates on a computer
(hxxp://w w w.update.microsoft.com/windowsupdate/v6/default.aspx?ln=de) scheint im Moment extrem langsam, dass ich nicht sicher bin, ob es noch etwas macht (sucht nach den neuesten Updates). Ich sag Bescheid, wenn sich ein Ergebnis zeigt.

gunbe 14.07.2010 22:08

Ich habe jetzt auch die Update Datei vom zweiten Link runtergeladen, aber es gibt die Meldung, dass es den Update Agent nicht installiert, da dieser schon installiert ist. Kann man das update Programm glauben machen, der Update Agent ist noch nicht installiert?
Danke.

markusg 14.07.2010 23:30

nein.
hmm mir gehen da auch die ideeen aus, denn das ist, was microsoft vorschlägt. evtl. mal mit der windows cd ne reparatur versuchen, oder das system gleich neu aufsetzen. was da wohl die bessere wahl ist

gunbe 14.07.2010 23:48

Für den Moment geht es wohl auch mit abgeschaltenem Auto Update und nach der 'Sommerpause' seh ich mal weiter.
Jedenfalls erstmals vielen Dank für deine Hilfe!

markusg 15.07.2010 12:42

ja meld dich dann noch mal vllt wird sich da noch ne möglichkeit finden.

gunbe 15.07.2010 18:36

Ja ich fürchte, ich werde mich auf alle Fälle nochmal melden, da obwohl heute morgen noch alles ok war (und ich nicht denke, dass in der Zwischenzeit jemand an dem Rechner war), ich nun bein einloggen von Avira die Meldung bekomme, wenn ich FF oder IE starten will, dass in c:\windows\system32\sshnas21.dll der Trojaner TR/Agent.212992.10 gefunden wurde. FF verabschiedet sich sofort wieder, IE lässt sich noch öffnen :(

Soll ich da wohl dann einen neuen Thread öffnen mit den üblichen log Dateien?

markusg 15.07.2010 18:57

poste mal ein malwarebytes log nach update, komplett scan

gunbe 15.07.2010 21:14

MWB log :(
Code:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4316

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15.07.2010 22:16:32
mbam-log-2010-07-15 (22-16-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 339790
Laufzeit: 1 Stunde(n), 50 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Ujyhua.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\wincdlin.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\KWAnadzBSM.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\14D.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\14F.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\lsfOojZhZg.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\Uq0.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\Uq1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\temp\Uqz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4U5AOMAV\setup[2].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4U5AOMAV\setup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GJ8LMWOU\setup[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Ruth\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U0TH2EV2\setup[1].exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


markusg 16.07.2010 13:47

naja wenn du dir immer was neues einfängst macht das auch net so viel sinn :d
nutze mit dem internetexplorer den kaspersky online scaner
Kaspersky Online Scanner
ergebniss posten

gunbe 16.07.2010 19:41

Ich kann zwar den Kasperov Online Scanner installieren, aber der Update der Virendatenbanken schlägt fehl und so kann die Anwendung nicht initialisiert werden.
Es erscheint ein kleines Fenster mit der Überschrift: Meldung von Webseite
und dem Text: Lizenz für Kaspersky Online Scanner!

Eigentlich haben wir den Rechner nach der ersten Infektion so gut wie gar nicht benützt. Ich habe nur über Nacht einige Fernsehaufzeichnungen der WM Spiele von onlinetvrecorder.com runtergeladen (avi Dateien), welche dort für mich aufgenommen wurden. Aber das OTR verwende ich schon seit Jahren ohne dass ich je ein Problem hatte.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131