| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32.Agent.pz eingefangenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.06.2008, 15:23
| #1 |
| |  Win32.Agent.pz eingefangen Hallo liebes Trojaner-Board! Ich brauch mal wieder eure Hilfe! Und zwar ist mir heute Morgen folgendes passiert: Bin vermutlich ausversehen auf einen Popup gekommen und dann ging alles ganz schnell...meine XP-Firewall hat sich deaktiviert, Spybot hat gemeldet, dass sich etwas versucht in den Autostart einzunisten und der TeaTimer hat verrückt gespielt, so das ich ihn nur noch per TaskManager abwürgen konnte. Natürlich hab ich so schnell wie möglich meine Internet-Leitung gekappt und die Firewall wieder aktiviert, aber da war schon alles zu spät! Als ich versuchte den Ccleaner mal durchzujagen (hilft ja meist schon bei weniger gefährlicher Malware in den Temp.InetFiles!?!) und einen HiJackThis-Scan zu starten, ging dann plötzlich garnichts mehr...es ließen sich weder Programme wie HJT, AntiVir, Spybot & co noch Befehle wie "regedit" & "msconfig" ausführen... Nach 'nem ordentlichen Schnaps, Zigarettenpäuschen und verzweifeltem hin und her grübeln, entschloss ich mich also mein System Neu und im abgesicherten Modus (mit F8) zu starten. Als erstes führte ich einen HJT-Scan durch und meinte auch gleich den Übeltäter entdeckt zu haben (F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe) , welches mir der Spybot-Scan dann auch bestätigte, indem er 4 Einträge fand, die er alle dem Trojaner Win23.Agent.pz zuordnete. Per "regedit" suchte ich den im Spybot angegebenen Pfad (HKEY_LOKAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurentVersion\Winlogon) und fand dort auch diese ntos.exe, die mir WinPatrol gemeldet hatte. Ich versuchte per Spybot die Einträge zu löschen, jedoch konnte er nur einen Eintrag entfernen. Dann versuchte ich per HJT den Eintrag zu fixen, funktionierte auch nicht.  Vor lauter Ungedult, Wut und Hilflosigkeit versuchte ich den Eintrag per "regedit" manuell zu löschen...was auch erst funktionierte, aber nach einmal F5-drücken wieder da war. Naja, ich dachte mir, ich starte nochmal neu im abgesicherten Modus und versuch es noch einmal mit dem Spybot...allerdings kam es garnicht so weit, da der Bildschirm nach dem "Wilkommen" Screen Schwarz blieb!  Auch ein weiterer Versuch war erfolglos und ich versuchte das System normal zu starten...aber auch dort kam nach dem "Wilkommen" nur mein Desktophintergrundsbild und der Maus-Cursor und sonst nichts, keine Schaltflächen, keine Icons, kein Rechtsklick funktionierte...  Die Profis unter Euch werden jetzt bestimmt schmunzeln und denken halb so wild, da wahrscheinlich nur der Explorer abgeschossen war (???), aber ich sah in dem Moment nur noch, dass meine ganzen Dateien ins Nirvana verschwunden waren und war vollkommen fertig mit der Welt!  Keine Ahnung wie ich darauf kam, aber irgendwie versuchte ich den Taskmanager zu starten und als dieser ansprang, gelang es mir die Systemwiederherstellung zu finden, und ich sah es in diesem Moment als einzigste Chance, mein System zurückzusetzen um wieder an meine Daten/Dateien zu kommen. Gesagt, getan! Das System war wieder da!  Dann als erstes den Spybot scannen lassen und er fand nur noch einen Eintrag des Win32.Agent.pz, aber nicht die besagte ntos.exe im system32. Nach entfernen des Eintrags und erneutem Scan mit SB wurde kein Schädling mehr gefunden. Auch HJT konnte nichts mehr finden. Also fuhr ich Windows herunter und ging erstmal ins Bett. Nach einer kurzen Nacht mit wenigen Stunden schlaf startete ich heute Mittag mein System wieder und scannte mit HJT und ließ die Logfile auswerten: meines Erachtens nach alles sauber. Auch SB fand keinen Agenten mehr. Ebenfalls kann ich ausschließen, das mein Rechner umgeleitet wird, da die ip-Adresse passt (Berlin/Deutschland) und ein PortScan ergab, das alle Ports geschlossen sind. Zusätzlich scannte ich mit dem "CLRAW" von Kaspersky und dem hier empfohlenen " Malwarebytes Anti-Malware ", die beide auch nichts finden konnten.  Abschließend werde ich jetzt noch einen eScan durchführen, und dann das Ergebnis, sowie die Logfiles von HJT und Malwarebytes Anti-Malware hier posten... So, ich hoffe ihr seid nach meinem Roman noch nicht eingeschlafen, aber ich wollte es so ausführlich wie möglich schildern/resümieren, damit meine (Un-)Taten evtl. wieder ausgebügelt werden können?!  Zu meinen Fragen: -War es wirklich sinnvoll mit einem befallenen System die Systemwiederherstellung zu verwenden??? -Kann es sein, dass ich diesen Win32.Agent.pz tatsächlich komplett von meinem System vertrieben habe? -Ist es, falls dieses Ding noch da sein sollte, unbedingt nötig, mein System neu aufzusetzten? -Ist es mit diesem System (so wie es im Moment ist) gefährlich Seiten zu besuchen, die persönliche Informationen verlangen, wie z.B. ebay, PayPal, eMail-Accounts, zwecks Keylogger etc.? -und die letzte und für mich (fast) wichtigste Frage: Falls ich um ein Neuformatieren nicht drumherum komme, kann ich dann meine wichtigen Dateien, wie Bilder, Musik, Filme, pdf-Dokumente, Lesezeichen irgendwie retten und diese transferieren, bzw. kopieren? oder kann sich so ein Trojaner auch an diese Dateien heften? Hoffe sehr, dass Ihr mir weiterhelfen könnt!? Ganz dickes Danke schonmal im Vorraus!  |
|
11.06.2008, 15:31
| #2 |
| |  Win32.Agent.pz eingefangen Hier noch meine Logfiles:
__________________HJT: Logfile of HijackThis v1.99.1 Scan saved at 13:26:26, on 11.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\DSL Connection Manager\DSLCoMan.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\DSLCON~1\accwpac.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HJT1991.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = url=h**p://www.google.de/Google O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DSLCoMan] "C:\Programme\DSL Connection Manager\DSLCoMan.exe" -autostart O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140195498750 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Malwarebytes Anti-Malware : Malwarebytes' Anti-Malware 1.17 Datenbank Version: 846 14:00:52 11.06.2008 mbam-log-6-11-2008 (14-00-52).txt Scan Art: Schnell Scan Objekte gescannt: 39303 Scan Dauer: 5 minute(s), 8 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) eScan folgt noch... |
|
11.06.2008, 15:46
| #3 | |||||
| /// TB-Ausbilder     | Win32.Agent.pz eingefangen Hi,
__________________Zitat:
Der Eintrag wird von ntos.exe nur verändert, nicht erstellt und wird imho von Windows benötigt, deswegen ging nach deiner Löschaktion nicht mehr viel. Deinen Virus sollte das allerdings nicht ausser Kraft gesetzt haben. Zitat:
Zitat:
Zitat:
Der Kollege ist ein großer Freund von Kontodaten und sammelt die mit Freude ein. Zitat:
Alles andere kann man in der Regel bedenkenlos übernehmen. Ich würd ganz klar zum Neuaufsetzen tendieren! Wenn du willst kannst du noch ein paar Rootkitscans machen um zu sehen, ob die Datei gesehen wird... Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
lg myrtille
__________________ |
|
| Themen zu Win32.Agent.pz eingefangen |
| abgesicherten modus, antivir, auswerten, bildschirm, confused, ebay, ellung, explorer, frage, heulen, hijack, hijackthis, ip-adresse, kaspersky, logfile, logfile auswerten, löschen, malware, malwarebytes anti-malware, musik, popup, programme, schaltflächen, schädling, seiten, software, starten, starten., system, system neu, taskmanager, trojaner-board, userinit.exe, win32.agent.pz, windows |
