Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AV meldet Obfuscator.ER und Spy.Agent.xps

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.06.2009, 16:30   #1
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Hallo Trojaner-Board Community,

Seit etwa einer Woche habe ich einen vermeintlichen Virus auf meinem System (Laptop, Windows Vista Business SP1, Avira AntiVir PE, CCleaner, Windowsfirewall Aktiv)
Der äußerte sich bisher durch gelegentliches Aufrufen von Werbeseiten mit dem IE, ohne das ich auch nur annähernd etwas gestartet hätte.

Zunächst wollte ich natürlich selber erst mal was herausfinden, leider lassen sich weder AntiMalware noch HijackThis installieren. Bei ersterem folgt nach erfolgreicher Installation ein Windowsfenster mit "Malwarebytes... funktioniert nicht mehr". HJT startet erst gar nicht. Seit ich mir dann die Sunbelt Personal Firewall installiert habe, meldet sich kein Fenster mehr (ich blocke ja auch alle ein/ausgehenden Verbindungen die ich nicht kenne...)

Außerdem findet AntiVir seit etwa 2 Tagen immer die selben Schädlinge:

--> SPR/Tool.Obfuscator.ER.42
--> TR/Spy.Agent.xeq

beide im Ordner C-Windows-System32-Beginnend mit "MSIVX..."
Hochladen bei einem Onlinevirenscanner geht nicht, da ich die Dateien nicht finden kann, trotz entsprechenden Einstellungen in den "Ordneroptionen"

Eventuell hat einer von euch noch einen Tipp zum weiteren Vorgehen. Neu Aufsetzen wäre sicherlich kein Problem, aber die Mühe möchte ich mir nur machen wenn es unbedingt sein muss (Mein Laptop hat eine XP Version samt Treiber mitgeliefert, die würde ich dann bei der Gelegenheit draufspielen...)

Auf alle Antworten freue ich mich, Danke schon mal im Voraus, Viele Grüße

Hedgehog

Alt 16.06.2009, 17:08   #2
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Hallo und
Zitat:
Neu Aufsetzen wäre sicherlich kein Problem, aber die Mühe möchte ich mir nur machen wenn es unbedingt sein muss
Dann tue es, denn Neuaufsetzen ist immer schneller und sicherer als Säuberung.
http://www.trojaner-board.de/51262-a...sicherung.html

Den hatte ich gerade und wir sind immer noch nicht durch.
http://www.trojaner-board.de/74136-a...ndet-mods.html

Wenn dir der Weg lieber ist, dann fange mit GMER an.

ciao, andreas
__________________

__________________

Alt 17.06.2009, 13:09   #3
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Danke Ging ja richtig Fix mit ner Antwort hier

Wie gesagt, Neu aufsetzen würd ich nur wenn nichts anderes mehr geht, mir fehlt grade die Zeit.

Werds heut Abend mal mit GMER probieren

Irgendwie muss das mit HJT doch funktionieren...
__________________

Alt 17.06.2009, 16:05   #4
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Warum die HJT ausser Kraft setzen, leuchtet nicht wirklich ein, der ist dort gar nicht zu sehen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 17.06.2009, 22:15   #5
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



So, hier die Log-File von GMER. Gefunden hat er was.
LINK -->http://rapidshare.com/files/245695782/123.log

Einfachere Frage: Soll ich nach dem selben Prinzip vorgehen wie in dem anderen Fall (den zweiten Link den du mir gesendet hast)??

Grüße und gute Nacht


Alt 17.06.2009, 22:18   #6
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Schöner Link, nur ich kann da nicht so richtig klicken.
Zitat:
Einfachere Frage: Soll ich nach dem selben Prinzip vorgehen wie in dem anderen Fall (den zweiten Link den du mir gesendet hast)??
Wenn du dir das zutraust, ja, poste sicherheitshalber alle Logs.

ciao, andreas
__________________
--> AV meldet Obfuscator.ER und Spy.Agent.xps

Geändert von john.doe (17.06.2009 um 22:40 Uhr)

Alt 17.06.2009, 22:26   #7
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Zutrauen, das eigentlich schon. Du hast es ja wirklich gut beschieben.
Nur ob ich die Skripte so verwenden kann...

Sorry, keine ahnung warum Rapidshare nicht mitspielen will.
Habs jetzt bei mir auf meinen Webspace bei Funpic hoch geladen.

--> http://tocoolforhell.to.funpic.de/123.log

Und bevor ichs vergesse: Vielen Dank für deine Unterstützung!!

Alt 17.06.2009, 22:40   #8
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Drivers to delete:
MSIVXserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys

Files to delete:
C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys
C:\Windows\System32\MSIVXcount
C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll
C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 17.06.2009, 23:18   #9
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Das meinte GMER:
Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "MSIVXserv.sys" found!
ImagePath:  \systemroot\system32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys 
Start Type:  4 (Disabled)

Rootkit scan completed.

Driver "MSIVXserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" deleted successfully.
File "C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys" deleted successfully.
File "C:\Windows\System32\MSIVXcount" deleted successfully.
File "C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll" deleted successfully.
File "C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 17.06.2009, 23:19   #10
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 23.06.2009, 16:14   #11
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



OK, ab heute hab ich wieder Zeit

Hier das GMER Log:
--> http://tocoolforhell.to.funpic.de/gmer 23.6.09.log

Danach hab ich Hopsassa ausgeführt, mit dem oben beschriebenen Script.
Ergebnis:
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\MSIVXserv.sys" not found!
Deletion of driver "MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" not found!
Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys" not found!
Deletion of file "C:\Windows\System32\drivers\MSIVXpcvbomkbirvhhpxeturiciepcqqgsinb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\MSIVXcount" not found!
Deletion of file "C:\Windows\System32\MSIVXcount" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll" not found!
Deletion of file "C:\Windows\System32\MSIVXptkgplqtnqwxprpavcvvtgrmpawryqxi.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll" not found!
Deletion of file "C:\Windows\System32\MSIVXxsdbddfkoewirtskvmifwcrviovddbrt.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Soll ich als nächsten Schritt ComboFix benutzen, oder gibt es Änderungen am Avenger-Script??

Viele Grüße, Hedgehog

Geändert von Hedgehog (23.06.2009 um 16:27 Uhr)

Alt 23.06.2009, 16:40   #12
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Weiter mit Combofix.
Zitat:
oder gibt es Änderungen am Avenger-Script??
Du hast es zweimal laufengelassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Geändert von john.doe (23.06.2009 um 16:54 Uhr)

Alt 23.06.2009, 17:15   #13
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Hier das Protokoll:

http://tocoolforhell.to.funpic.de/Log.txt

Alt 23.06.2009, 17:28   #14
john.doe
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Du hast da Software am Laufen, die ich noch nicht gesehen habe.

Was ist das?
Zitat:
c:\programdata\{C79A30AF-08C1-49CF-8F27-526F179A478D}\Traktor Setup.exe
c:\users\Sebi\AppData\Roaming\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe
Lade die Dateien
Code:
ATTFilter
c:\windows\system32\bmpsap.dll
c:\windows\system32\CmdLineExt.dll
c:\users\Sebi\AppData\Roaming\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe
c:\programdata\{C79A30AF-08C1-49CF-8F27-526F179A478D}Traktor Setup.exe
         
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 23.06.2009, 17:38   #15
Hedgehog
 
AV meldet Obfuscator.ER und Spy.Agent.xps - Standard

AV meldet Obfuscator.ER und Spy.Agent.xps



Vielen Dank für deine Unterstützung, Andreas.
Hast auf jeden Fall was gut bei mir!!!

Alle 4 Dateien hab ich hochgeladen.
"Traktor" ist ne DJ Software, die ich mal Testweise Installiert hab.

Antwort

Themen zu AV meldet Obfuscator.ER und Spy.Agent.xps
aktiv, antimalware, antivir, aufrufe, aufsetzen, avira, dateien, einstellungen, funktioniert, funktioniert nicht, funktioniert nicht mehr, geliefert, hijack, hijackthis, installation, laptop, neu, neu aufsetzen, ordner, problem, scan, schädlinge, system, treiber, trojaner-board, unbedingt, virus, vista, windows, windows vista



Ähnliche Themen: AV meldet Obfuscator.ER und Spy.Agent.xps


  1. Problem mit ExploitJava/Obfuscator.AH
    Plagegeister aller Art und deren Bekämpfung - 28.06.2015 (22)
  2. PC infiziert (vorher) + Win32/Obfuscator.XZ
    Plagegeister aller Art und deren Bekämpfung - 29.10.2014 (34)
  3. Obfuscator.ALA Trojaner gefunden - Wie werde ich den wieder los?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2014 (19)
  4. Windows 7, Habe ein: VirTool:Win32/Obfuscator.ALA
    Plagegeister aller Art und deren Bekämpfung - 08.10.2014 (7)
  5. VirTool:Win32/Obfuscator.ALA
    Plagegeister aller Art und deren Bekämpfung - 04.10.2014 (44)
  6. AVAST meldet Agent-CDG
    Log-Analyse und Auswertung - 10.10.2013 (13)
  7. Obfuscator.xz entdeckt.. eingentlich nicht neu, aber...
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (4)
  8. Win32/Obfuscator.xz entdeckt..
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (10)
  9. Avira meldet 'JS/Agent.agx'
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (1)
  10. Avira meldet Befall mit TR/Dldr.Carberp.C.51 und Java/Agent.HT.2 bzw. Java/Agent.ID.2
    Plagegeister aller Art und deren Bekämpfung - 26.11.2010 (14)
  11. AVG meldet msls51.dll TR/Agent.APEN
    Plagegeister aller Art und deren Bekämpfung - 14.04.2010 (7)
  12. Tool.Obfuscator und Alureon
    Plagegeister aller Art und deren Bekämpfung - 07.09.2009 (1)
  13. Antivir meldet als den Tr/Agent.imh
    Log-Analyse und Auswertung - 16.05.2009 (1)
  14. AVG meldet Agent 2.BGD
    Plagegeister aller Art und deren Bekämpfung - 24.04.2009 (11)
  15. AntiVir meldet BDS/Agent.elw
    Log-Analyse und Auswertung - 19.02.2008 (0)
  16. AV meldet TR/Spy.Agent.42496
    Log-Analyse und Auswertung - 18.10.2007 (3)
  17. AntiVir meldet TR/Agent.SK.14
    Plagegeister aller Art und deren Bekämpfung - 25.07.2006 (1)

Zum Thema AV meldet Obfuscator.ER und Spy.Agent.xps - Hallo Trojaner-Board Community, Seit etwa einer Woche habe ich einen vermeintlichen Virus auf meinem System (Laptop, Windows Vista Business SP1, Avira AntiVir PE, CCleaner, Windowsfirewall Aktiv) Der äußerte sich bisher - AV meldet Obfuscator.ER und Spy.Agent.xps...
Archiv
Du betrachtest: AV meldet Obfuscator.ER und Spy.Agent.xps auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.