Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Agent.rw und weitere trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2006, 17:54   #1
tigga_koeln
 
Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



kurze vorgeschichte:

hatte seit gestern beim hochfahren immer eine *normale error* meldung bekommen, dass mit einer CSYIU.exe was nicht stimmt und man sich an den hersteller wenden muss.

habe dann heute mal geschaut wo diese exe ist und habe den ordner windows/sestem geöffnet, wo sie drin ist.
da schlug sofort AntiVir an und meldete sofort einen trojaner ( tr/d/dr.agent.uj.1) in dieser exe.

habe dann mit Antivir gelöscht und schon kam die nächste warnung für eine weitere exe.

desweiteren hab ich festgestellt, dass in wndows/system so einige verdächtige kleine exe´n sind, die alle das erstellungsdatum 01.01.06 haben und wohl immer nach dem löschen wieder kommen.

habe darauf einen HijackThis ´gemacht, wo die CSYIU exe als bösartig angezeigt worden ist und gefixt wurde. sie ist aber wieder im ordner - taucht aber bei HijackThis nicht mehr auf.


ferner habe ich einen online scan über kaspersky machen lassen windows + temps mit dem folgenen ergebnis :


Tuesday, June 06, 2006 4:45:21 PM
Operating System: Microsoft Windows 98
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 5/06/2006
Kaspersky Anti-Virus database records: 186673


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target Critical Areas
C:\WINDOWS
C:\TEMP\

Scan Statistics
Total number of scanned objects 10516
Number of viruses found 1
Number of infected objects 1
Number of suspicious objects 0
Duration of the scan process 00:19:47

Infected Object Name Virus Name Last Action
C:\WINDOWS\SYSTEM\idemlog.exe Infected: Backdoor.Win32.Agent.rw skipped

Scan process completed.


bin aber nicht schlau geworden, ob und wie man ihn über kaspersky löschen kann. - kann man das dann direkt ? wenn ja wie.



hier jetzt noch mein Hj logfile:


Logfile of HijackThis v1.99.1
Scan saved at 17:30:39, on 06.06.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LVCOMSX.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MSOFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMME\DAP\DAPIEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LVCOMSX] c:\windows\SYSTEM\LVCOMSX.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\MSOffice\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\MSOffice\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - xttp://a840.g.akamai.net/7/840/537/20011202/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - xttp://sc.communities.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - xttp://sc.communities.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - xttp://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - xttp://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - xttp://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: Yahoo! Pool 2 - xttp://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Chat - xttp://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - xttp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - xttp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - xttp://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - xttp://www.actualresearch.com/de/files/rfscanax.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - xttp://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xttp://www.kaspersky.com/kos/english/kavwebscan_ansi.cab
O16 - DPF: Yahoo! Dominoes - xttp://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Chess - xttp://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Backgammon - ttp://download.games.yahoo.com/games/clients/y/at1_x.cab



sage jetzt schon mal danke

Alt 05.06.2006, 18:50   #2
Sunny
Administrator
> Competence Manager
 

Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



Hallo tigga_koeln,

ich denke (bin mir zu 99,99% SICHER) das bei dir ein Trojaner mit Rootkittechnologie am Werk ist, scanne dein System mal mit F-Secure Blacklight, und poste danach das Ergebnis!

Gruß
Daniel
__________________

__________________

Alt 05.06.2006, 18:57   #3
tigga_koeln
 
Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



so wioe es aussieht, bekomme ich es mit W98 nicht installiert. läuft laut seite erst ab W2000.
__________________

Alt 05.06.2006, 19:05   #4
Sunny
Administrator
> Competence Manager
 

Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



Huch, hab vergessen das F-Secure erst ab WIN2000 startet...

Suche auf deinem System folgende Dateien: (nur ein Versuch ob sie existieren!!)
oleadm.dll
wp.bmp
uninstIU.exe
favset.exe
filesafer23.exe
howiper.exe
cshru.exe
(die meisten davon sollten im System Ordner zu finden sein!)

Lass ausserdem folgende Datei bei Virustotal auswerten:
WININET.DLL

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.06.2006, 19:30   #5
tigga_koeln
 
Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



oleadm.dll - nicht gefunden
wp.bmp - nicht gefunden
uninstIU.exe - nicht gefunden
favset.exe - nicht gefunden
filesafer23.exe - in windows / system
howiper.exe - nicht gefunden / die war aber in system - war aber befallen und ist gelöscht !?
cshru.exe nicht gefunden
(die meisten davon sollten im System Ordner zu finden sein!)

Lass ausserdem folgende Datei bei Virustotal auswerten:
WININET.DLL - tjaaa...also über funktion *suchen* wird mir sie angezeigt in windows/ system. schaue ich aber in den ordner ist sie nicht zu finden !!! habe somit auch keinen zugriff zum scannen


Alt 05.06.2006, 19:38   #6
Sunny
Administrator
> Competence Manager
 

Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



Versuch das nochmal:
http://www.trojaner-board.de/59624-a...-sichtbar.html

um die Datei zu finden! Wenn F-Secure schon nicht funktioniert, versuchen wir es halt auf dem anderen Wege! Ansonsten mach mal einen kompletten eScan, Anleitung dazu in meiner Signatur verlinkt.

Gruß
Daniel
__________________
--> Backdoor.Win32.Agent.rw und weitere trojaner

Alt 05.06.2006, 19:59   #7
tigga_koeln
 
Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



Lass ausserdem folgende Datei bei Virustotal auswerten:
WININET.DLL


wurde überall nichts gefunden. mache jetzt mal den escan.

kannst du mal bitte sagen, was es jetzt heisst, dass ich manche files nicht habe, bzw die howiper gelöscht ist ?


habe auch gerade in
sphlp32.exe den nächsten trojaner

Alt 05.06.2006, 20:02   #8
Sunny
Administrator
> Competence Manager
 

Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



mach erstmal den eScan, der sollte definitiv (fast!) alles finden, und zusätzlich auch eine Verzeichnisangabe! Somit sucht es sich definitiv schneller und man muss nicht die Nadel im heuhaufen suchen..

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 05.06.2006, 22:18   #9
tigga_koeln
 
Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



auswertung Escan :

hoffe die angaben reichen jetzt aus, da der ganze logfile ellenlang ist.

es wurden 8 sachen gefunden.

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "powerstrip Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "unspypc Unclassified" found in File System! Action Taken: No Action Taken.

Object "precisionpop Spyware/Adware" found in File System! Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\tvrsq.dll tagged as "not-a-virus:AdWare.Win32.SBSoft.h". Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\pppcgm.exe tagged as "not-a-virus:AdWare.Win32.Msnagent.b". Action Taken: No Action Taken.

File C:\WINDOWS\SYSTEM\idemlog.exe infected by "Backdoor.Win32.Agent.rw" Virus! Action Taken: No Action Taken.



wie fährt man denn jetzt weiter ?


***sage zwischendurch schon mal ein grosses Danke !!!

Alt 06.06.2006, 16:37   #10
hoerni26
 
Backdoor.Win32.Agent.rw und weitere trojaner - Standard

Backdoor.Win32.Agent.rw und weitere trojaner



Hallo,

ich würde dir raten dein System nach Anleitung in meiner Signatur neu aufzusetzen.
Alles andere würde dir nix bringen.
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Antwort

Themen zu Backdoor.Win32.Agent.rw und weitere trojaner
antivir, antivirus, antivirus scan, download, error, explorer, hijack, hijackthis, infected, internet, internet explorer, kaspersky, logfile, löschen, microsoft, msn, ordner, programme, registry, rundll, scan, software, symantec, trojane, trojaner, warnung, yahoo



Ähnliche Themen: Backdoor.Win32.Agent.rw und weitere trojaner


  1. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  2. Backdoor.Win32.ZAccess.uru und weitere
    Log-Analyse und Auswertung - 19.07.2012 (2)
  3. Backdoor.win32.agent.cjpk
    Plagegeister aller Art und deren Bekämpfung - 24.06.2012 (2)
  4. Trojan.Banker und Backdoor.Agent mit Malwarebytes entfernt - weitere Schritte nötig?
    Plagegeister aller Art und deren Bekämpfung - 19.06.2012 (3)
  5. Trojaner Befall! z.B Backdoor.win32.Agent.ich
    Log-Analyse und Auswertung - 10.01.2010 (18)
  6. Backdoor.Win32.Shark und Trojan.Agent.IRC
    Log-Analyse und Auswertung - 30.09.2009 (42)
  7. Backdoor.Win32.Agent.eop!A2
    Plagegeister aller Art und deren Bekämpfung - 10.12.2008 (0)
  8. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  9. WIN32.Backdoor.Agent
    Log-Analyse und Auswertung - 05.12.2008 (0)
  10. Win32 Backdoor Agent in der Registry?
    Log-Analyse und Auswertung - 25.05.2008 (7)
  11. Hilfe gegen Trojaner TR\Agent.aec bzw. Backdoor.Win32.Rukap.Gen
    Log-Analyse und Auswertung - 18.09.2007 (3)
  12. Backdoor.Win32.agent.abf
    Plagegeister aller Art und deren Bekämpfung - 10.01.2007 (6)
  13. Backdoor.Win32.agent.abf von 1&1 Mail
    Plagegeister aller Art und deren Bekämpfung - 10.01.2007 (3)
  14. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  15. Backdoor.Win32.Agent.iw
    Plagegeister aller Art und deren Bekämpfung - 09.11.2006 (3)
  16. Backdoor.Win32.Agent.pd
    Plagegeister aller Art und deren Bekämpfung - 24.10.2005 (4)
  17. Backdoor.win32.agent.cf
    Plagegeister aller Art und deren Bekämpfung - 23.08.2004 (1)

Zum Thema Backdoor.Win32.Agent.rw und weitere trojaner - kurze vorgeschichte: hatte seit gestern beim hochfahren immer eine *normale error* meldung bekommen, dass mit einer CSYIU.exe was nicht stimmt und man sich an den hersteller wenden muss. habe dann - Backdoor.Win32.Agent.rw und weitere trojaner...
Archiv
Du betrachtest: Backdoor.Win32.Agent.rw und weitere trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.