Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tr/agent.cs

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.04.2005, 01:51   #1
dj.excellence
 
tr/agent.cs - Unglücklich

tr/agent.cs



Hey leute,
ich habe das Programm Antivir. Es hat den trojaner tr/agent.cs erkannt.
Er sitzt in der Datei C:\WINDOWS\Web\printers\msmp3.dll
Ich habe einiges probiert, AntiVir, Spybot - Search & Destroy, konnte aber nichts ändern, da die datei msmp3.dll in windows geladen wurde.
Also habe ich meine Registry ausgeräumt und alles aus dem Autostart gelöscht. Ich habe auch die Registry nach msmp3 durchsucht und 3 einträge gefunden die zu der datei verweisen. Ich dachte mir also, ich könnte die einträge löschen und dann den Trojaner los werden. Ich kann die einträge aber nicht löschen.
Ich bin jetzt am verzweifeln und denke über systemwiederherstellung nach.
Falls mir jemand helfen kann, danke jetzt schon mal sehr.
Gruß
Dj.excellence

Alt 30.04.2005, 07:10   #2
rock
 
tr/agent.cs - Standard

tr/agent.cs



Zitat:
Zitat von dj.excellence
Hey leute,
Er sitzt in der Datei C:\WINDOWS\Web\printers\msmp3.dll
konnte aber nichts ändern, da die datei msmp3.dll in windows geladen wurde.
Dj.excellence
wenn der rechner bereits infiziert ist, und es laden sich nach dem löschen trotzdem wieder infekte teile mit dem system hoch, musst du die systemwiederherstellung vorher deaktivieren.

starte dann den pc in den abgesicherten modus, es LADET sich kaum etwas mit, du kannst in diesem modus infekte daten löschen.
(mit dem scanner nocheinmal durchscannen.)
__________________


Alt 02.05.2005, 01:29   #3
dj.excellence
 
tr/agent.cs - Standard

tr/agent.cs



Habe ich probiert, aber die Datei wird von Windows anscheinend auch im abgesicherten Modus geladen, ich kann sie einfach nicht löschen.
__________________

Alt 02.05.2005, 08:24   #4
rock
 
tr/agent.cs - Standard

tr/agent.cs



hey,

solltest du keinen erfolg bislang gehabt haben:

wie lautet die meldung im abgesicherten modus wenn du diese datei löschen willst?

wenn du die datei gefunden hast, lade sie doch einmal zur weiteren überprüfung hier hoch und sende sie ab:
http://www.virustotal.com/flash/index_en.html
wird sie auch von anderen scannern als infected gemeldet, dann lade dir das kleine tool HijackThis und scan in sekundenschnelle, und poste dann den log-bericht hier ins forum.
wie du vorgehst ist hier bebildert erklärt:
http://www.trojaner-board.de/51130-a...ijackthis.html

ich vermute aber auch eine Tr/Vundo infection...

wird von scannern nach dem upload der name VUNDO gemeldet...verwende dieses tool von symantec gegen Tr/Vundo
http://snipurl.com/elr0

Geändert von rock (02.05.2005 um 08:30 Uhr)

Alt 03.05.2005, 16:23   #5
b_gosh
 
tr/agent.cs - Standard

tr/agent.cs



Hallo
Ich habe auch den Trojaner Tr/agent.cs. Antivir hat ihn in der Datei accw.dll lokalisiert. Diese Datei befindet sich in C:\WINDOWS\Help.
Antivir, "Killbox", Spybot - Search & Destroy und NOD32 konnten sie nicht löschen und im abgesichertem Modus konnte ich sie auch nicht löschen.

Es folgt der log-Bericht von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:18:54, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Help\accw.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: °Ù¶ÈËÑË÷°é - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O11 - Options group: [!IESearch] !IESearch
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/IESearch.cab
O20 - Winlogon Notify: accw - C:\WINDOWS\Help\accw.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe


Ich hoffe, dass jemand damit etwas anfangen kann. Bitte helft mir, bin total verzweifelt.
Danke im voraus
Yann


Alt 03.05.2005, 16:30   #6
b_gosh
 
tr/agent.cs - Standard

tr/agent.cs



Ach ja. Eins hab ich noch vergessen: Wenn ich die Datei per Email als Dateianhang zu scan@virustotal.com schicke liegt die Größe unter 1 kB.
Ich kriege dann die Antwort:
Codification base64
Unsupported or malformed attached file codification
(Response to a message sent on Tue, 3 May 2005 17:27:08 +0200 (MEST))

Im Windows explorer steht 410 kB. Wenn ich sie direkt von der virustotal homepage aus schicke kommt eine Meldung, die besagt, dass die Datei über 2 MB groß ist und dass ich sie per Email schicken soll.
MfG
Yann

Antwort

Themen zu tr/agent.cs
autostart, c:\windows, danke, datei, destroy, durchsucht, einträge, ellung, gefunde, geladen, konnte, leute, löschen, nichts, probiert, programm, registry, search, sitzt, spybot, systemwiederherstellung, troja, trojaner, träge, verweise, verzweifel, verzweifeln, web, windows, ändern



Ähnliche Themen: tr/agent.cs


  1. Avira Funde: TR/Spy.Agent.1246416 und TR/Spy.Agent.1793892
    Plagegeister aller Art und deren Bekämpfung - 09.10.2015 (17)
  2. Sefnit-HU, Agent-ASEB, Agent-ARQX von Avast gefunden...
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (23)
  3. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  4. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  5. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  6. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  7. pc friert ein- malware (TR/Spy.Zbot, TR/Agent.282624.k , BDS.Hupigon, JS/Agent.30510, )
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (3)
  8. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  9. offenes system? TR/Agent.bfpp HTML/Ydergda.B TR/Riner.ZK TR/Riern.H.7 JAVA/Agent.BH
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  10. RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (25)
  11. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  12. Verseuchter Rechner mit TR/Click.Agent.AC, TR/Dlder.Mediket.A, ADSPY/Agent.L usw.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (23)
  13. Trojanerr Epidemie- Agent.AN260, 261, 262, Agent.dyur, Bubnix.S
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (25)
  14. TR/Agent.RUO.3 in der Datei 'C:\Windows\System32\wineon.dll' und DR/Agent.ruo ...
    Plagegeister aller Art und deren Bekämpfung - 13.04.2010 (6)
  15. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  16. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  17. 3 Trojaner: Agent NBU / Agent.BI und WinShow.NAL - kriegs nicht gelöscht :(
    Log-Analyse und Auswertung - 20.03.2005 (1)

Zum Thema tr/agent.cs - Hey leute, ich habe das Programm Antivir. Es hat den trojaner tr/agent.cs erkannt. Er sitzt in der Datei C:\WINDOWS\Web\printers\msmp3.dll Ich habe einiges probiert, AntiVir, Spybot - Search & Destroy, konnte - tr/agent.cs...
Archiv
Du betrachtest: tr/agent.cs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.