Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Agent.cys.3

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.12.2007, 18:52   #1
Methos
 
TR/Agent.cys.3 - Standard

TR/Agent.cys.3



Guten Abend erstmal.
Habe seit ca 3 Tagen einen Trojaner mit Namen TR/Agent.cys.3 auf meinem WinXP.
Das Virenprogramm gibt als Pfad immer C:\Windows\System32\opnkiig.dll an.
Habe schon ein paar mal versucht den Trojaner wegzubekommen, war aber bisher noch nicht erfolgreich.
Hat jemand von euch da ne Lösungsmöglichkeit?

mfg Methos

Alt 08.12.2007, 19:55   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.cys.3 - Standard

TR/Agent.cys.3



Hallo.

Werte die Datei C:\Windows\System32\opnkiig.dll bei Virustotal aus und poste die Ergebnisse. Poste auch mal ein Hijackthis-Logfile. Nimm am besten dazu diese umbenannte hijackthis.exe, dann sehen wir weiter.
__________________

__________________

Alt 08.12.2007, 20:51   #3
kAbUkI_rUlEzZ
 
TR/Agent.cys.3 - Standard

TR/Agent.cys.3



hallo zusammen

ich habe genau das gleiche problem wie methos

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]
__________________

Alt 09.12.2007, 13:28   #4
Methos
 
TR/Agent.cys.3 - Standard

TR/Agent.cys.3



so hier meine Daten.
Hijack-Logfile:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:07, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
d:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
F:\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {370E1240-6B4D-41E7-8630-0420DBDCCCF5} - C:\WINDOWS\system32\awvvt.dll
O2 - BHO: (no name) - {4884B8A6-0CC4-42D1-8344-6E76A1E6012E} - (no file)
O2 - BHO: (no name) - {B2D2D370-1406-4BA9-8702-0BD96CBD4CBD} - C:\WINDOWS\system32\opnkiig.dll
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Verknüpfung mit ZoneAlarm Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O20 - Winlogon Notify: opnkiig - C:\WINDOWS\SYSTEM32\opnkiig.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2762 bytes


und dann noch virustotal :AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 TR/Agent.cys.3
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 Obfustat.AASN
BitDefender 7.2 2007.12.09 -
CAT-QuickHeal 9.00 2007.12.08 Trojan.Agent.cys
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 Trojan.Virtumod.244
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 Trojan.Win32.Agent.cys
Ikarus T3.1.1.12 2007.12.09 Trojan.Win32.Agent.cys
Kaspersky 7.0.0.125 2007.12.09 Trojan.Win32.Agent.cys
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 W32/Agent.DKSH
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 Trojan.DoS.Win32.Opdos
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 Mal/Generic-A
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.09 -
TheHacker 6.2.9.153 2007.12.07 Trojan/Agent.cys
VBA32 3.12.2.5 2007.12.07 Trojan.Win32.Agent.cys
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Agent.cys.3

mfg methos

Geändert von Methos (09.12.2007 um 13:52 Uhr)

Alt 09.12.2007, 16:00   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Agent.cys.3 - Standard

TR/Agent.cys.3



Das neue Logfile offenbart noch mehr Löschen wir zunächst zwei Malwaredateien, die aus dem Logfile ersichtlich sind:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\SYSTEM32\opnkiig.dll
C:\WINDOWS\system32\awvvt.dll
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Starte danach den Rechner im abgesicherten Modus und öffne HijackThis mit der Option Do a system scan only - makiere diese Einträge:

Code:
ATTFilter
O2 - BHO: (no name) - {370E1240-6B4D-41E7-8630-0420DBDCCCF5} - C:\WINDOWS\system32\awvvt.dll
O2 - BHO: (no name) - {4884B8A6-0CC4-42D1-8344-6E76A1E6012E} - (no file)
O2 - BHO: (no name) - {B2D2D370-1406-4BA9-8702-0BD96CBD4CBD} - C:\WINDOWS\system32\opnkiig.dll
O20 - Winlogon Notify: opnkiig - C:\WINDOWS\SYSTEM32\opnkiig.dll
         
und klick unten auf den Butto fix checked - danach Windows wieder neu starten (normaler Modus) und ein neues Logfile erstellen und posten.

Führ auch mal für weitere Analysen diese Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
(Es kann sein, dass der Link zu combofix mal wieder hakelt - wenn ja, dann überspringen wir combofix erstmal...)

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.12.2007, 17:17   #6
Methos
 
TR/Agent.cys.3 - Standard

TR/Agent.cys.3



avenger logfile
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hidndoxy

*******************

Script file located at: \??\C:\rvsmbeym.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\opnkiig.dll deleted successfully.
File C:\WINDOWS\system32\awvvt.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hjiackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:19:49, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - Global Startup: Verknüpfung mit ZoneAlarm Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



mfg methos

Geändert von Methos (09.12.2007 um 17:36 Uhr)

Antwort

Themen zu TR/Agent.cys.3
abend, c:\windows, guten, namen, programm, system, system32, tagen, troja, trojaner, versuch, versucht, virenprogramm, windows



Ähnliche Themen: TR/Agent.cys.3


  1. Avira Funde: TR/Spy.Agent.1246416 und TR/Spy.Agent.1793892
    Plagegeister aller Art und deren Bekämpfung - 09.10.2015 (17)
  2. Sefnit-HU, Agent-ASEB, Agent-ARQX von Avast gefunden...
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (23)
  3. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  4. Antivir findet ADWARE/Agent.Gaba.peg und TR/Agent.370144
    Log-Analyse und Auswertung - 09.07.2012 (5)
  5. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  6. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  7. pc friert ein- malware (TR/Spy.Zbot, TR/Agent.282624.k , BDS.Hupigon, JS/Agent.30510, )
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (3)
  8. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  9. offenes system? TR/Agent.bfpp HTML/Ydergda.B TR/Riner.ZK TR/Riern.H.7 JAVA/Agent.BH
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  10. RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (25)
  11. TR/Dldr.MSIL.Agent.ON - TR/Agent.204800.BH - noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (29)
  12. Verseuchter Rechner mit TR/Click.Agent.AC, TR/Dlder.Mediket.A, ADSPY/Agent.L usw.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2010 (23)
  13. Trojanerr Epidemie- Agent.AN260, 261, 262, Agent.dyur, Bubnix.S
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (25)
  14. TR/Agent.RUO.3 in der Datei 'C:\Windows\System32\wineon.dll' und DR/Agent.ruo ...
    Plagegeister aller Art und deren Bekämpfung - 13.04.2010 (6)
  15. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  16. BDS/Agent.rfw ; BDS/Agent.rfv ; TR/Agent.wyn ; TR/Dldr.FraudLoad.vbxt
    Log-Analyse und Auswertung - 13.10.2009 (1)
  17. 3 Trojaner: Agent NBU / Agent.BI und WinShow.NAL - kriegs nicht gelöscht :(
    Log-Analyse und Auswertung - 20.03.2005 (1)

Zum Thema TR/Agent.cys.3 - Guten Abend erstmal. Habe seit ca 3 Tagen einen Trojaner mit Namen TR/Agent.cys.3 auf meinem WinXP. Das Virenprogramm gibt als Pfad immer C:\Windows\System32\opnkiig.dll an. Habe schon ein paar mal versucht - TR/Agent.cys.3...
Archiv
Du betrachtest: TR/Agent.cys.3 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.