Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.05.2011, 22:31   #1
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Servus!

Habe mir gestern folgende Programme runtergeladen, da der WMP meine DVD net abspielen wollte:

1.) Mats_Run.dvd, wurde von der Microsoft Homepage empfohlen. Runtergeladen, nicht ausgeführt/installiert.

2.) K-Lite_Codec_Pack_710_Full, um dem benötigten Decoder unter die Arme zu greifen. Nachdem ich aber las, wie schlecht der Kram wieder runtergeht, nur runtergeladen, nicht ausgeführt.

3.) vlc-1.1.9-win32, nachdem ich keine Lust hatte, weiter zu suchen. Installiert.


Nun ist es so, dass meine PC- Kenntnisse gegen 0 tendieren.
Aber ich hatte ein ungutes Gefühl und bevor ich sensible Daten abrufen wollte, hab ich den AVG Anti-Virus Free Edition Viredatenbank 1500/3641 Version: 10.0.1209 Update: 16.05.2011 14:30, gegen 15:51 manuell übern Rechner laufen lassen.

Dabei fanden sich neben den üblichen Trackig Cookis auch Trojaner.

Hier einmal das Scan- Protokoll:

"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"3";"3";"0"
"Warnungen";"12";"12";"0"
"Für den Scanvorgang ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Montag, 16. Mai 2011, 15:08:40"
"Scan beendet:";"Montag, 16. Mai 2011, 15:43:25 (34 Minute(n) 45 Sekunde(n))"
"Gesamtanzahl gescannter Objekte:";"467659"
"Benutzer, der den Scan gestartet hat:";"***"

"Infektionen"
"";"Datei";"Infektion";"Ergebnis"
"";"C:\Programme\Mozilla Firefox\null0.5732435754566769.exe";"Trojaner: PSW.Agent.AMDQ";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\0.7535879165214235.exe";"Trojaner: PSW.Agent.AMDQ";"In Virenquarantäne verschoben"
"";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\a53af1d-76e5b378";"Trojaner: PSW.Agent.AMDQ";"In Virenquarantäne verschoben"

Den dritten, unter Java habe ich unter dem aufgeführten Pfad gefunden, die beiden anderen net.

Das ist meine erste Bekannschaft mit Trojaner und ich wüsste gern, wie ich mich nun verhalten soll, bzw. welche Gegenmaßnahmen ich ergreifen kann/soll.

Lieben Gruß

Cotty

Alt 16.05.2011, 23:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________

__________________

Alt 16.05.2011, 23:11   #3
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Okay!

Mach jetzt erst eins nach dem anderen und lad mir dies Malwarebytes runter.
Aktualisieren brauch ich dann wohl net mehr.

Ansonsten an die Anleitung deines Links halten?


Kannste mir denn vllt. schon sagen, was ich mir da eingefangen hab und von wem?
__________________

Alt 16.05.2011, 23:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Zitat:
Aktualisieren brauch ich dann wohl net mehr.
Doch muss man gerade direkt nach der Installation!

Alt 16.05.2011, 23:25   #5
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Auch nochmal manuell? Oder reicht das Update, das während des Fertigstellens gemacht wird?


Alt 16.05.2011, 23:28   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Drück bitte so oft auf den Updatebutton, bis dir keine Updates mehr angeboten werden oder sind die paar Klicks zuviel verlangt?
__________________
--> Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme

Alt 16.05.2011, 23:32   #7
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Ich steuer meinen Rechner per Stimme und bin klickfaul.
Ne quatsch!

Wollt nur meinen Rechner net überstrapazieren.
Scan läuft jetzt über alle Partitionen und Wechselmedien.

Alt 16.05.2011, 23:55   #8
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Scan läuft, aber jetzt ist folgendes passiert:

Alarm des AVG Residenten Schutz
Bedrohung erkannt!

Dateiname: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jar_cache6041462702783955707.tmp

Name der Bedrohung: Trojaner: PSW.Agent.AMDQ Beim Öfnen erkannt.

-> In Quarantäne verschieben
-> Gehe zu Datei
-> Ignorieren


1. Was soll ich tun?

Öffnet das Malware Programm alle Dateien?

Und klar, dass es keine Empfehlung gäbe, wenn ne potentielle Gefahr bestünden, aber ich frag dennoch.
Stellt das net ne Gefahr dar, bzw. wie wird verhindert, dass sich der Trojaner breit macht?

Alt 17.05.2011, 01:12   #9
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



So, die Antimalware is fertig.
Hier das Ergebnis:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6593

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17.05.2011 02:09:11
mbam-log-2011-05-17 (02-09-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|I:\|)
Durchsuchte Objekte: 184582
Laufzeit: 1 Stunde(n), 38 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\jar_cache6041462702783955707.tmp (Spyware.Password) -> Quarantined and deleted successfully.
c:\system volume information\_restore{39c047e8-2157-4e68-b3c0-a21e08a643e3}\RP167\A0022924.exe (Spyware.Password) -> Quarantined and deleted successfully.

Alt 17.05.2011, 08:31   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Das von OTL brauch ich noch

Alt 17.05.2011, 18:04   #11
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Bekommste auch :-)

Hab dazu aber noch folgende Fragen:

1. In der Anleitung otl.exe sind zwei Varianten aufgeführt. Einmal "Standard-Ausgabe auswählen" im Bild und im Text darunter steht "Minimale Ausgabe".
Welche der beiden soll ich wählen, bzw. kann ich ansonsten nach der Anleitung vorgehen.

2. Was kann ich im Ausgabetext schwärzen? Soweit ich gesehen habe, kann man sehen, wann ich z.B. den Rechner hochgefahren habe, etc.

3. Ich weiß immer noch net, wie ich mich verhalten soll, bis mein Rechner wieder sauber ist.
Klar, dass Viech liest wohl meine Passwörter aus. Aber wie und gibt es ne Möglichkeit, den auszutricksen, bis er runter ist?

Ich brauche den Rechner um mich im Uni Portal, Bank, EMail usw. einzuloggen. Muss also mit dem Teil möglichst weiter arbeiten. Seit der Trojaner drauf ist, steh ich im Wald. Selbst den Acc hier, hab ich mir von nem Freund anlegen lassen, damit nix schief gehen kann.


Lieben Gruß
Koi

Edit: Programme nur schließen, oder auch beenden? Bsp. mein Surfstick: Beim Schließen würd ichs halt dicht machen, wenn ichs beenden wollte, würd ichs auswerfen lassen, sonst läuft das Programm noch.

Geändert von cotty (17.05.2011 um 18:18 Uhr)

Alt 17.05.2011, 18:26   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Oben hab ich dir eine Anleitung zu OTL gepostet.

Zitat:
2. Was kann ich im Ausgabetext schwärzen?
Nur private Dinge. So wenig wie möglich, weil das später beim Auswerten und Scripting stört.
Was hast du davon wenn wir nicht mehr wissen wann der Rechner hoch und runtergefahren wurde? Ist doch Quatsch, lass das und editiere so wenig wie möglich.

Zitat:
3. Ich weiß immer noch net, wie ich mich verhalten soll, bis mein Rechner wieder sauber ist.
Nichts installieren ohne Absprache. Mach erstmal nur das was ich hier poste, weil das erstmal wegen der Bereinigung oberste Priotität hat. Nichts auf eigene Faust machen, wovon ich nichts weiß.

Alt 17.05.2011, 18:39   #13
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Tut mir leid, wenn ich vllt überflüssige Fragen stelle, aber da ich mir was eingefangen hab, will ich einfach nur sicher und verständlich vorgehen.

Zitat:
Zitat von cosinus Beitrag anzeigen
Oben hab ich dir eine Anleitung zu OTL gepostet..
Okay, werd also die Häckchen nehmen, die von vornherein da sind. Mich hatte die Anleitung unter otl.exe einfach nur ein wenig irritiert.



Zitat:
Zitat von cosinus Beitrag anzeigen
Nur private Dinge. So wenig wie möglich, weil das später beim Auswerten und Scripting stört.
Was hast du davon wenn wir nicht mehr wissen wann der Rechner hoch und runtergefahren wurde? Ist doch Quatsch, lass das und editiere so wenig wie möglich..
Ich weiß ja net, aus welchen, ich sag mal Absätzen, ihr/du was lesen könnt. :-)
Habe bestimmt net vor, mich ne Stunde hinzusetzen und alles mit Sternchen zu ersetzen.



Zitat:
Zitat von cosinus Beitrag anzeigen
Nichts installieren ohne Absprache. Mach erstmal nur das was ich hier poste, weil das erstmal wegen der Bereinigung oberste Priotität hat. Nichts auf eigene Faust machen, wovon ich nichts weiß.
Mir gehts net ums installieren, sondern darum ob ich mir meine Aufgaben ausm Netz holen kann, ohne dass ich Angst haben muss, das wer auf einmal alles über mich weiß. Im Uni- Portal muss ich halt das Passwort eingeben.

Was meinst du nun mit schließen, Surfstick raus, oder nur schließen.

Kannst du mir bisher nichts über mein "kleines Haustier" sagen?

Alt 17.05.2011, 18:44   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Zitat:
Habe bestimmt net vor, mich ne Stunde hinzusetzen und alles mit Sternchen zu ersetzen.
Wenn gehts nur um den Benutzernamen. Der muss aber nur dann editiert werden, wenn man blöderweise seinen vollen Vor- und Nachnamen als Windows-Benutzernamen verwendet!

Zitat:
Mir gehts net ums installieren, sondern darum ob ich mir meine Aufgaben ausm Netz holen kann, ohne dass ich Angst haben muss, das wer auf einmal alles über mich weiß. Im Uni- Portal muss ich halt das Passwort eingeben.
Musst du das unbedingt noch heute machen?

Zitat:
Was meinst du nun mit schließen, Surfstick raus, oder nur schließen.
Programm schließen = Programm beenden

Alt 17.05.2011, 19:00   #15
cotty
 
Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Standard

Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme



Zitat:
Wenn gehts nur um den Benutzernamen. Der muss aber nur dann editiert werden, wenn man blöderweise seinen vollen Vor- und Nachnamen als Windows-Benutzernamen verwendet!
Habsch net ^^


Zitat:
Musst du das unbedingt noch heute machen?
Eigentlich schon seit Sonntag ^^''' Aber aus deiner Anwort schließe ich: Besser keine sensiblen Daten abrufen!

Edit: Was mir heut beim Hochfahren aufgefallen ist. Mein Rechner bevorzugt neuerdings Französisch. Statt einem Master habe ich nun einen Maître, ebenso siehts beim Slave auf. Zufall?

Antwort

Themen zu Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme
anzahl, avg, computer, datei, dvd, einstellungen, ergebnis, firefox, folge, free, gegenmaßnahmen, homepage, java, maßnahme, microsoft, mozilla, ordner, programm, programme, psw.agent, rechner, start, suche, temp, trojaner, update, virenquarantäne, wmp



Ähnliche Themen: Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme


  1. TR/Injector.gi in C:\Dokumente und Einstellungen\Test\Lokale Einstellungen\Temp\qxtndqxofj.pre
    Log-Analyse und Auswertung - 01.06.2013 (3)
  2. TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe
    Log-Analyse und Auswertung - 21.12.2012 (27)
  3. BKA Virus, jetzt noch Trojan.Agent auf C:\Dokumente und Einstellungen\Administrator\ms.exe
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (6)
  4. Trojan horse Dropper.Generic5.TDZ in C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Te
    Plagegeister aller Art und deren Bekämpfung - 28.02.2012 (31)
  5. Trojan Agent dwm.exe / csrss.exe in C:\Dokumente und Einstellungen\Anwendungsdaten\dwm.exe
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (28)
  6. C:\Dokumente und Einstellungen\mein name\Lokale Einstellungen\Temp csrss.exe Win32.FakeAlert.tt
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (8)
  7. Virus HTML/Drop.Agent.AB in C:/Dokumente und Einstellungen/Lokale Service
    Antiviren-, Firewall- und andere Schutzprogramme - 10.03.2011 (1)
  8. HTML/Malicious.PDF.Gen in C:\Dokumente und Einstellungen\admin\Lokale Einstellungen gefunden.
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (1)
  9. C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe
    Plagegeister aller Art und deren Bekämpfung - 22.05.2010 (7)
  10. TR/Crypt.ZPACK.Gen in C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (3)
  11. TR/PSW.Kates.CA.7 - C:\Dokumente und Einstellungen\Alle\Lokale Einstellungen\Temp\...
    Log-Analyse und Auswertung - 16.04.2010 (18)
  12. TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\
    Plagegeister aller Art und deren Bekämpfung - 10.04.2010 (17)
  13. Trojaner in C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Igl.exe
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (3)
  14. Exploit.JS.Pdfka.bvg in C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\
    Plagegeister aller Art und deren Bekämpfung - 18.03.2010 (8)
  15. TR/Agent.vB.jah in C:\Dokumente und Einstellungen\***\yeioz.exe
    Plagegeister aller Art und deren Bekämpfung - 12.02.2010 (1)
  16. Patched.DY.1 in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmpF.
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (5)
  17. Vista & Programme bzw. Dokumente und Einstellungen
    Alles rund um Windows - 05.11.2008 (4)

Zum Thema Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme - Servus! Habe mir gestern folgende Programme runtergeladen, da der WMP meine DVD net abspielen wollte: 1.) Mats_Run.dvd, wurde von der Microsoft Homepage empfohlen. Runtergeladen, nicht ausgeführt/installiert. 2.) K-Lite_Codec_Pack_710_Full, um dem - Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme...
Archiv
Du betrachtest: Trojaner: PSW.Agent.AMDQ in C:\Dokumente und Einstellungen, und C:\Programme auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.