Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan-Downloader.Win32.Agent.gyai

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.02.2012, 16:49   #1
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Hallo an dieses Forum,

ich bin sehr froh Euch im Internet gefunden zu haben.
Der erste google-Eintrag des Suchwortes "Win32.Agent" ist dieses Forum.

Ich habe alle Regeln des Forums gelesen und versuche diese
so gut wie möglich umzusetzten um die Arbeit etwas zu erleichtern.

Schilderung meines Problems:

Kasperky hat folgende Probleme erkannt, welche ich gescreent und
angehängt habe. ("kasperky_screenshot"). Leider lassen sich
die gefundenen Bösewichte vom Kasperky nicht entfernen.

Nach der Forumssuche habe ich ähnliche Beiträge zum Thema
"Win32.Agent" gefunden und habe anfänglich versucht die dort
beschriebenen Lösungswege abzuarbeiten. Nachdem mir Malwarebytes
nach einem KomplettScan keine Bösewichte angezeigt hat, habe ich mich
entscheiden ganz von vorne zu beginnen (dds, defogger)

Zitat:
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_31
Run by Admin at 7:59:31 on 2012-02-18
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3066.2083 [GMT 1:00]
.
AV: Kaspersky Internet Security *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
SP: Kaspersky Internet Security *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Kaspersky Internet Security *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\rundll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\PSIService.exe
C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files\Realtek Semiconductor Corp\Realtek USB 2.0 Card Reader\reset.exe
C:\Windows\SYSTEM32\Rezip.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\tsnp2uvc.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\PDF24\pdf24.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uDefault_Page_URL = hxxp://www.aldi.com/
mDefault_Page_URL = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\programdata\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll
BHO: IEVkbdBHO Class: {59273ab4-e7d3-40f9-a1a8-6fa9cca1862c} - c:\program files\kaspersky\kaspersky internet security 2012\ievkbd.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: FilterBHO Class: {e33cf602-d945-461a-83f0-819f76a199f8} - c:\program files\kaspersky\kaspersky internet security 2012\klwtbbho.dll
TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\program files\canon\easy-webprint\Toolband.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe
mRun: [TkBellExe] "c:\program files\common files\real\update_ob\realsched.exe" -osboot
mRun: [UCam_Menu] "c:\program files\homecinema\youcam\muitransfer\muistartmenu.exe" "c:\program files\homecinema\youcam" updatewithcreateonce "software\cyberlink\youcam\2.0"
mRun: [PDVD8LanguageShortcut] "c:\program files\homecinema\powerdvd8\language\Language.exe"
mRun: [MDS_Menu] "c:\program files\homecinema\mediashow4\muitransfer\muistartmenu.exe" "c:\program files\homecinema\mediashow4" updatewithcreateonce "software\cyberlink\mediashow\4.1"
mRun: [tsnp2uvc] c:\windows\tsnp2uvc.exe
mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [AppleSyncNotifier] c:\program files\common files\apple\mobile device support\AppleSyncNotifier.exe
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [AVP] "c:\program files\kaspersky\kaspersky internet security 2012\avp.exe"
mRun: [PDFPrint] c:\program files\pdf24\pdf24.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRunOnce: [AvgUninstallURL] cmd.exe /c start hxxp://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAMwBaAEMAOQAtAEUASwBBAFIAUwAtADYAUgBXAEcAQQAtAEEAQQBUAEMAVQAtAFYAUAA5AEYATgA"&"inst=NwA3AC0ANAA0ADgAOAA3ADAANgA2ADEALQB YAEwAKwAxAC0AVAA1AC0ARgBMACsAOQAtAEYAOQBNADYAKwAxAC0AWABPADMANgArADEALQBGADkATQA3AEMAKwA1AA"&"prod=90"&"ver=9.0.872
StartupFolder: c:\users\admin\appdata\roaming\micros~1\windows\startm~1\programs\startup\onenot~1.lnk - c:\program files\microsoft office\office12\ONENOTEM.EXE
StartupFolder: c:\users\admin\appdata\roaming\micros~1\windows\startm~1\programs\startup\{10584~1.lnk - c:\windows\system32\rundll32.exe
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\wisome~1.lnk - c:\program files\wiso\steuersoftware 2011\mshaktuell.exe
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Easy-WebPrint - Drucken - c:\program files\canon\easy-webprint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\program files\canon\easy-webprint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\program files\canon\easy-webprint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\program files\canon\easy-webprint\Resource.dll/RC_AddToList.html
IE: Free YouTube to MP3 Converter - c:\users\admin\appdata\roaming\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\mi1933~1\office12\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\mi1933~1\office12\ONBttnIE.dll
IE: {4248FE82-7FCB-46AC-B270-339F08212110} - {4248FE82-7FCB-46AC-B270-339F08212110} - c:\program files\kaspersky\kaspersky internet security 2012\ievkbd.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\mi1933~1\office12\REFIEBAR.DLL
IE: {CCF151D8-D089-449F-A5A4-D9909053F20F} - {CCF151D8-D089-449F-A5A4-D9909053F20F} - c:\program files\kaspersky\kaspersky internet security 2012\klwtbbho.dll
DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} - hxxp://quickscan.bitdefender.com/qsax/qsax.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{585A1985-1848-42D4-AE16-01AB80CC0E32} : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{8B7CBA12-E6ED-4B51-BDE1-9F32F3DDD5A8} : DhcpNameServer = 192.168.178.1
Notify: !SASWinLogon - c:\program files\superantispyware\SASWINLO.DLL
Notify: klogon - c:\windows\system32\klogon.dll
SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No File
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\admin\appdata\roaming\mozilla\firefox\profiles\jbi9blw3.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programdata\real\realplayer\browserrecordplugin\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\google updater\2.4.2432.1652\npCIDetect14.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npjp2.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\picasa2\npPicasa2.dll
FF - plugin: c:\program files\picasa2\npPicasa3.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - plugin: c:\programdata\real\realplayer\browserrecordplugin\mozillaplugins\nprphtml5videoshim.dll
.
============= SERVICES / DRIVERS ===============
.
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [2011-3-4 11352]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\drivers\klim6.sys [2011-3-10 23856]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
R2 resetWinService;Reset Reader;c:\program files\realtek semiconductor corp\realtek usb 2.0 card reader\reset.exe [2009-6-10 70656]
R2 Rezip;Rezip;c:\windows\system32\Rezip.exe [2009-6-10 311296]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [2009-11-2 19984]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-6-8 64032]
R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\drivers\rtl8192se.sys [2010-2-24 522784]
S2 AVP;Kaspersky Anti-Virus Service;c:\program files\kaspersky\kaspersky internet security 2012\avp.exe [2011-4-24 202296]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2009-8-13 133104]
S3 fspad_wlh32;Finger-sensing Pad Driver for Windows 2000/XP/Vista/Win7_wlh32;c:\windows\system32\drivers\fspad_wlh32.sys [2009-6-22 41984]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2009-8-13 133104]
S3 libusb0;LibUsb-Win32 - Kernel Driver 07/07/2009, 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [2009-7-7 28160]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2012-2-18 40776]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-02-17 23:31:48 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-02-15 17:20:53 -------- d-----w- C:\sh4ldr
2012-02-15 17:20:52 -------- d-----w- c:\program files\Enigma Software Group
2012-02-15 17:19:16 -------- d-----w- c:\windows\4E0C6314A8B84026AC15084E8B63AFB5.TMP
2012-02-15 17:05:51 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-15 17:05:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-02-15 17:00:55 2044416 ----a-w- c:\windows\system32\win32k.sys
2012-02-15 17:00:54 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-02-15 17:00:53 680448 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-15 07:12:09 6557240 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{309e5eeb-79e8-4127-aea2-9fa4c157ec50}\mpengine.dll
2012-01-31 00:20:04 -------- d-----w- c:\users\admin\appdata\local\PDF24
2012-01-31 00:19:30 -------- d-----w- c:\program files\PDF24
.
==================== Find3M ====================
.
2012-02-16 21:55:52 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-01-26 23:21:24 237072 ------w- c:\windows\system32\MpSigStub.exe
2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll
2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll
2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2011-11-25 15:59:48 376320 ----a-w- c:\windows\system32\winsrv.dll
.
============= FINISH: 8:00:36,03 ===============
Als Anhang (logfiles.zip):

gamer.txt
Attach.txt
defogger_disable.log

Für eine Rückmeldung danke ich Euch schon jetzt!

Grüße,

kreisl

Alt 19.02.2012, 20:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 20.02.2012, 23:07   #3
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Hallo cosinus,

danke für die Anleitungen!

Eine vollständige Untersuchung mit Malwarebytes war leider
nich möglich; 3x hat sich die Sache irgenwo aufgehängt. Ich habe
`Mal einen Photo (keinen Screen da Nichts mehr funktionierte bzw.
ansprach) erstellt.

Hier die log von Eset:
(gezippte Bilder im Anhang)

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1f55fd9a2e53ed41a2ff37f3559ac2d2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-20 09:45:30
# local_time=2012-02-20 10:45:30 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=1024 16777215 100 0 58630967 58630967 0 0
# compatibility_mode=1280 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 20976 167300370 0 0
# compatibility_mode=8192 67108863 100 0 3791 3791 0 0
# scanned=196997
# found=3
# cleaned=0
# scan_time=6688
C:\Users\Admin\Downloads\PDFCreator-1_2_3_setup.exe	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\Users\Admin\Downloads\SoftonicDownloader75262.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\09052011_224907\C_Users\Admin\AppData\Local\Babylon\Setup\MyBabylonTB.exe	a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
         
__________________
Miniaturansicht angehängter Grafiken
Trojan-Downloader.Win32.Agent.gyai-malwarebytes_abbruch.jpg  

Alt 21.02.2012, 12:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Funktioniert denn ein Quickscan mit Malwarebytes? Hast du den Vollscan mal im abgesicherten Modus ausprobiert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2012, 16:28   #5
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Hallo cosinus,

Danke für den Tipp!

Hier der log des Vollscans im abgesicherten Modus:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.21.02

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Admin :: AKOYA [Administrator]

21.02.2012 13:29:55
mbam-log-2012-02-21 (13-29-55).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 397299
Laufzeit: 51 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
und hier der log des Qickscans im normalen Modus

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.21.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin :: AKOYA [Administrator]

21.02.2012 14:40:00
mbam-log-2012-02-21 (14-40-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223194
Laufzeit: 7 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Ist es normal dass Malwarebytes Nichts findet?
Dass etwas im Busch ist sagt mit Kasperky; im Anhang
aktuelle Bilder der Meldungen. Ich werde das Gefühl nicht
los dass es immer mehr Bösewichte werden!

Gruß,
kreisl

Miniaturansicht angehängter Grafiken
Trojan-Downloader.Win32.Agent.gyai-bericht_kasperky01.jpg   Trojan-Downloader.Win32.Agent.gyai-meldung_kasperky01.jpg  

Alt 21.02.2012, 18:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Die Screenshots sind fast wertlos, das man nur die Schädlingsnamen sieht, nicht aber welche Dateien da gefunden wurde. Schau bitte nach ob du an das letzte Log mit allen Infos von Kaspersky kommst
__________________
--> Trojan-Downloader.Win32.Agent.gyai

Alt 21.02.2012, 21:14   #7
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Hallo cosinus,

gerade eben habe ich einen Komplettscan mit
Kasperky durchgeführt; Ergebnis: keine Funde! (Bild 1)

Kasperky unterscheidet bei gefundenen Bedrohungen
in verschiedene Komponenten. (Bild 2)

In den Komponenten "Datei-Anti-Virus" und "Web-Anti-Virus"
sind Bedrohungen gefunden worden.

Die Komponente "Datei-Anti-Virus" ist im linken Fenster
wiederum in Objekte unterteilt. Die Objekte mit gefundenen
Bedrohungen habe ich aufgefaltet und gescreent. (Bild 3-5)

Die Komponente "Web-Anti-Virus" ist ebenfalls gescreent (Bild 6)

Zusätzlich habe ich zu beiden Komponenten die log als Textdatei
angehängt.

Archive1: Bild 1,2,3,4
Archive2: Bild 5, 6, logs

Ich hoffe dass das so okay ist?

Gruß,
kreisl

Alt 21.02.2012, 21:19   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Ich hab den Eindruck dass Kaspersky da etwas hysterisch ist...

Zitat:
C:\_OTL\MovedFiles
Was genau wurde da schon mit OTL gefixt und warum?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2012, 21:33   #9
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Ich habe mit OTL noch garnichts in dieser Sache unternommen.

Bis jetzt habe ich mich strikt an die Anweisungen des Forums
gehalten und keine Selbstversuche unternommen; ich kann Dir
dazu leider keine andere Antwort geben.

Ehrlich gesagt ist es mir lieber wenn ein Anti-Virenprogramm
etwas hysterisch ist als dass ich von der Sache garnichts
mitbekomme....

Alt 21.02.2012, 21:41   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Zitat:
Ich habe mit OTL noch garnichts in dieser Sache unternommen.
Nee ist klar. Des Q-Ordner mit "MovedFiles" erstellt sich ja auch von ganz allein ...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2012, 21:45   #11
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Nein, das tut er natürlich nicht. Aber bitte glaube mir
dass ich in der aktuellen Sache noch kein OTL
angewendet habe.

Vllt. stammt der Ordner von einem früheren Scan?

Kann ich das irgendwie feststellen?

Alt 21.02.2012, 21:53   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Zitat:
Aber bitte glaube mir
dass ich in der aktuellen Sache noch kein OTL
angewendet habe.
Das kann ich nur schwer glauben eher irgendwie garnicht
Wenn du es nicht warst - jmd. anders? Oder hast nur du Zugang zum Rechner?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2012, 22:04   #13
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



2 Personen haben Zugang zum Rechner wobei
eine davon, ähm, eher weniger mit digitaler
Schädlingsbekämpfung zu tun hat. Und die zweite
Person bin ich :-)

Arne, ehrlich jetzt, wenn ich es Dir irgendwie
nachweisen kann, dann tue ich dies sofort! Da ich
erst gelesen und dann gehandelt habe weiß ich dass
Selbstversuche eher keinen Erfolg haben.

Und ganz nebenbei: hätte ich OTL aktuell angewendet
würde ich es Dir sagen bzw. hätte es schon zu Beginn
gesagt. (....ist ja jetzt kein Weltuntergang dies zu tun...)

Geändert von kreisl (21.02.2012 um 22:19 Uhr)

Alt 21.02.2012, 22:45   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Tja, dann haben wohl die Heizelmännchen OTL auf diesem Rechner zum Fixen gebracht
Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.02.2012, 23:20   #15
kreisl
 
Trojan-Downloader.Win32.Agent.gyai - Standard

Trojan-Downloader.Win32.Agent.gyai



Bescheid!

Arne, der PC merkt wohl dass etwas nicht stimmt.

Die Meldungen von Kasperky häufen sich und beim
Hochfahren (gerade eben) blieb der Bildschirm nach
der Anmeldung schwarz. Das Laden der Programme
dauert nun eine Ewigkeit.

Ich hoffe dass der upload so richtig war. Danke für
die Anleitung!

Geändert von kreisl (21.02.2012 um 23:26 Uhr)

Antwort

Themen zu Trojan-Downloader.Win32.Agent.gyai
adobe, avp, avp.exe, bonjour, canon, converter, defender, dll, enigma, explorer, firefox, fontcache, google earth, home, internet, kaspersky, libusb0.sys, mozilla, mp3, nvidia, pdf, picasa, plug-in, realtek, rundll, scan, security, software, superantispyware, svchost.exe, system, usb, usb 2.0, windows



Ähnliche Themen: Trojan-Downloader.Win32.Agent.gyai


  1. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  2. trojan-downloader.win32.agent variant
    Mülltonne - 22.11.2008 (1)
  3. Trojan-Downloader.Win32.Agent.akfx
    Log-Analyse und Auswertung - 17.11.2008 (13)
  4. Trojan-Downloader.win32.agent variant
    Plagegeister aller Art und deren Bekämpfung - 30.10.2008 (2)
  5. Trojan.Win32.Agent.acra, Trojan-Downloader.JS.gen und noch ein paar weitere
    Log-Analyse und Auswertung - 09.09.2008 (3)
  6. Trojan-Downloader.Win32.Agent.vur
    Log-Analyse und Auswertung - 11.07.2008 (1)
  7. Virus Trojan-Downloader.Win32.Agent.jde
    Plagegeister aller Art und deren Bekämpfung - 17.03.2008 (1)
  8. Trojan-Downloader.Win32.Agent.jde
    Mülltonne - 16.03.2008 (0)
  9. Trojan-Downloader.win32.Agent Variant
    Log-Analyse und Auswertung - 18.12.2007 (12)
  10. Trojan-Downloader.Win32.Agent.avq
    Log-Analyse und Auswertung - 01.02.2007 (1)
  11. Trojan.Downloader.WIN32.Agent.acd -> HJT-LogFile
    Log-Analyse und Auswertung - 31.12.2006 (2)
  12. Trojan-Downloader.WIN32.agent.uj
    Mülltonne - 23.12.2006 (1)
  13. Der muss weg! Trojan-Downloader.Win32.Agent.uj
    Plagegeister aller Art und deren Bekämpfung - 27.07.2006 (1)
  14. Trojan-Downloader.Win32.Agent.ex
    Log-Analyse und Auswertung - 21.05.2006 (17)
  15. Hilfe bei Trojan-Downloader.Win32.Agent.jb
    Plagegeister aller Art und deren Bekämpfung - 03.03.2005 (12)
  16. Trojan-Downloader.Win32.Agent.kb
    Plagegeister aller Art und deren Bekämpfung - 02.03.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Trojan-Downloader.Win32.Agent.gyai - Hallo an dieses Forum, ich bin sehr froh Euch im Internet gefunden zu haben. Der erste google-Eintrag des Suchwortes "Win32.Agent" ist dieses Forum. Ich habe alle Regeln des Forums gelesen - Trojan-Downloader.Win32.Agent.gyai...
Archiv
Du betrachtest: Trojan-Downloader.Win32.Agent.gyai auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.