Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32/Agent.NCO Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.09.2006, 08:24   #1
pebeffa
 
Win32/Agent.NCO Trojaner - Standard

Win32/Agent.NCO Trojaner



Hallo,
Seit einigen Wochen meldet nod32 in unregelmässigen Abständen unmittelbar nach dem Booten den erwähnten Trojaner. Die Datei kann weder gelöscht noch unbenannt werden. Nach "abbrechen" erscheint die Meldung wieder, wenn ich irgend ein Programm ausführe.
Siehe Anhang 1 und 2
Wenn ich "Geschützte Systemdateien ausblenden" deaktiviere, finde ich die Datei "com4.cjb".
Siehe Anhang 4 und 3

Wenn ich den Rechner runterfahre und neustarte, erscheint die Meldung nicht mehr und die Datei "com4.cjb" ist nicht mehr zu finden!
Ich kann x-mal booten, die Meldung erscheint nicht mehr, bis sie nach ein paar Tagen plötzlich wieder da ist...

Win32/Agent.NCO Trojaner-dok1.jpg

Win32/Agent.NCO Trojaner-dok2.jpg

Win32/Agent.NCO Trojaner-dok3.jpg

Win32/Agent.NCO Trojaner-dok4.jpg

Danke für eure Mühe!

Geändert von pebeffa (26.09.2006 um 09:21 Uhr)

Alt 26.09.2006, 17:43   #2
pebeffa
 
Win32/Agent.NCO Trojaner - Standard

Win32/Agent.NCO Trojaner



Die Warnung ist wieder da. Statt Neustart habe ich ein Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:06:51, on 26.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120402491218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120402372828
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4856/mcfscan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab
O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com4.cjb
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

mfg
pebeffa
__________________


Alt 26.09.2006, 18:37   #3
Mellosun
 
Win32/Agent.NCO Trojaner - Standard

Win32/Agent.NCO Trojaner



Hallo,

bin etwas Irritiert.....

Warum hast du nicht das gemacht, was man Dir HIER gesagt/beschrieben hat?
Keine Lust?

Gruß Mellosun
__________________
__________________

Alt 26.09.2006, 19:21   #4
pebeffa
 
Win32/Agent.NCO Trojaner - Standard

Win32/Agent.NCO Trojaner



@Mellosun
Sicher habe ich das gemacht! Hier meine PN vom 20.9. an den Ratgeber:

Hallo ****,
Zuerst entschuldige bitte, dass ich dich per PN störe, aber es ist aus mir unbekannten Gründen nicht erlaubt, auf Beiträge zu antworten oder neue zu schreiben...

Danke für deine Anleitung vom 30.8. (war in den Ferien).
Hier das Blcklight-Log:

09/20/06 16:49:38 [Info]: BlackLight Engine 1.0.46 initialized
09/20/06 16:49:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/20/06 16:49:39 [Note]: 7019 4
09/20/06 16:49:39 [Note]: 7005 0
09/20/06 16:49:55 [Note]: 7006 0
09/20/06 16:49:55 [Note]: 7011 3248
09/20/06 16:49:56 [Note]: 7026 0
09/20/06 16:49:56 [Note]: 7026 0
09/20/06 16:49:59 [Note]: FSRAW library version 1.7.1019
09/20/06 16:51:56 [Note]: 2000 1006
09/20/06 16:52:16 [Note]: 7007 0

Die schlechte Nachricht - RookitRevealer geht bei mir nicht. Auch das Umbenennen in guck.exe brachte es nicht zum starten!

Mit freundlichen Grüssen
pebeffa

Eine Antwort steht leider noch aus

Alt 26.09.2006, 19:31   #5
pebeffa
 
Win32/Agent.NCO Trojaner - Standard

Win32/Agent.NCO Trojaner



@Mellosun
Zudem habe ich soeben in dem von dir zitierten Forum folgende PN erhalten:

"Hi
Sorry this is in English but my German is average. I Have just cleared a problem like yours on a customers pc it created a file called lpt5.mnn and could not be deleted by NOD32. The fix was to use a piece of software called PREVX1 from www.prevx.com. I hope this helps as I spent weeks on this one.

Regards
Andy Buckett
IT Engineer
B & B Computer Services
UK"

Kennst du das oder ist dies lediglich Werbung? (Seine Beiträge: 0)


Antwort

Themen zu Win32/Agent.NCO Trojaner
abständen, anhang, booten, datei, erschein, erscheint, gelöscht, geschützte, irgend, melde, meldet, meldung, nicht mehr, nod32, plötzlich, programm, rechner, systemdateien, tagen, troja, trojane, trojaner, unregelmässigen, win, woche, wochen



Ähnliche Themen: Win32/Agent.NCO Trojaner


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Win32.Agent.tdd / Win32.Delf.uv Trojaner
    Log-Analyse und Auswertung - 15.06.2011 (3)
  3. Wie entferne ich Trojaner Win32.agent.tdd?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2011 (1)
  4. nach spybot durchlauf... Win32.Agent.ieu, Win32.FraudLoad, Win32.PornPopup
    Log-Analyse und Auswertung - 08.08.2010 (3)
  5. Trojaner Win32.Agent.fbx gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.06.2010 (7)
  6. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  7. Trojaner - Win32.Agent.tdd ?
    Plagegeister aller Art und deren Bekämpfung - 11.10.2009 (1)
  8. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  9. Trojaner win32/agent
    Mülltonne - 24.03.2008 (0)
  10. Trojaner-Verdacht: Win32:Agent-PBF + Win32:Zlob-AJG
    Log-Analyse und Auswertung - 05.01.2008 (1)
  11. trojaner win32.agent.dgo
    Mülltonne - 28.12.2007 (0)
  12. Trojaner Win32.Agent.pz ?!
    Log-Analyse und Auswertung - 16.12.2007 (14)
  13. Win32/Spy.Agent.NBQ Trojaner
    Plagegeister aller Art und deren Bekämpfung - 20.03.2007 (1)
  14. Win32.agent Trojaner downloader!
    Log-Analyse und Auswertung - 19.02.2006 (2)
  15. trojaner win32.agent.uj
    Plagegeister aller Art und deren Bekämpfung - 24.01.2006 (2)
  16. Win32/Agent.CS Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.05.2005 (8)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Win32/Agent.NCO Trojaner - Hallo, Seit einigen Wochen meldet nod32 in unregelmässigen Abständen unmittelbar nach dem Booten den erwähnten Trojaner. Die Datei kann weder gelöscht noch unbenannt werden. Nach "abbrechen" erscheint die Meldung wieder, - Win32/Agent.NCO Trojaner...
Archiv
Du betrachtest: Win32/Agent.NCO Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.