Trojaner-Board - TR/Agent.KT kompromittiert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Agent.KT kompromittiert? (https://www.trojaner-board.de/14444-tr-agent-kt-kompromittiert.html)

TR/Agent.KT kompromittiert?

Hallo Profis!

Also ich versuche es kurz zu machen:
Hab schon allerlei Beiträge gelesen und auch schon einiges lernen können
(dickes Lob an euch alle - bin das board schon fleißig am weiterempfehlen),
bis was seltsames passierte.

Nun hatte ich mir also den oben genannten Plagegeist eingefangen und
war schon kurz davor, meine Festplatte zu formatieren und das System
neu aufzuspielen als... er einfach verschwand!

Bis zu jenem Zeitpunkt war es ganz gewöhnlich, dass mein Virenscanner
(AntiVir) jedes Mal verrückt gespielt hat. Sei es beim Start oder auch zwischendurch,
wenn ich eine infizierte Datei löschen wollte. Auch fand SpyBot S&D und AdAware
bei jedem Scan dasselbe. Löschen half bekannterweise nicht.
Natürlich wurde auch
bei jedem Systemneustart ein Prozess im Hintergrund
gestartet, der direkt mit den Dateien zusammenhing.

All das hat urplötzlich aufgehört bzw. verschwand einfach!
Ich kann nichts mehr finden. Auch in der Registrierung gibt es keine Schlüssel
mehr mit den Namen der suspekten Dateien oder dergleichen (war vorher
bei jedem Start neu dabei). Alle Scanner finden absolut gar nichts mehr und
es gibt auch keine Prozesse etc..

Was soll/kann ich jetzt tun?
Dennoch alles "plätten" ? Das wäre bei mir mit einem riesen Aufwand verbunden :-(
Vielleicht ein anderes Scannprogramm probieren? Hier werden ja viele genannt.

Bin für jede Hilfe dankbar!

PS Vielleicht weiß jemand auch, was TR/Agent.TK (speziell) eigentlich mit einem System so anstellt?
Würde mich wirklich mal interessieren...

Hallo Zaklinac,

ein paar Infos mehr werden aber noch gebraucht. :)
Poste bitte ein HJT-Logfile
download hier = http://www.hijackthis.de
Anleitung da = http://www.trojaner-board.de/51130-a...ijackthis.html

und

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

Hallo und danke für die Antwort und angebotene Hilfe!

Also, tut mir jetzt schon leid, wenn ich so herumhinke. Bin
leider da nicht so bewandert mit den Dingen - aber ich bemüh mich.

Also erstmal hier die HijackThis logfile. Ich werde mich jetzt drangeben,
mit eScan das zu machen da...

Logfile of HijackThis v1.99.1
Scan saved at 18:40:57, on 25.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Java\jre1.5.0_01\bin\jusched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Andy\Desktop\HijackThis.exe
D:\Programme\Mozilla Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Programme\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Network Security Service (NSS) (%AFå¤¶À¨) - Unknown owner - C:\WINDOWS\system32\adddc32.exe (file missing)

So und nun das log von eScan ( Ui - hab wohl doch noch einiges drauf an
Plagegeistern):

Fri Feb 25 20:20:48 2005 => Total Files Scanned: 36096
Fri Feb 25 20:20:48 2005 => Total Virus(es) Found: 15
Fri Feb 25 20:20:48 2005 => Total Disinfected Files: 0
Fri Feb 25 20:20:48 2005 => Total Files Renamed: 0
Fri Feb 25 20:20:48 2005 => Total Deleted Files: 0
Fri Feb 25 20:20:48 2005 => Total Errors: 152
Fri Feb 25 20:20:48 2005 => Time Elapsed: 01:06:20
Fri Feb 25 20:20:47 2005 => Scanning F:\ Drive

Fri Feb 25 20:20:48 2005 => ***** Scanning complete. *****
Fri Feb 25 20:20:48 2005 => Virus Database Date: 2005/02/25
Fri Feb 25 20:20:48 2005 => Virus Database Count: 119374

Fri Feb 25 20:20:48 2005 => Scan Completed.

Infected:

File C:\WINDOWS\addks.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\System32\seieqao.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\vamad.dll infected by "Trojan-Spy.Win32.Briss.n" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andy\LOKALE~1\TEMPOR~1\Content.IE5\WPUVWPIB\hdplugin_1101_bundle43v5d43[1].cab infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andy\Desktop\backups\backup-20050225-184008-227.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPUVWPIB\hdplugin_1101_bundle43v5d43[1].cab infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\addks.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\inst2.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\seieqao.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\vamad.dll infected by "Trojan-Spy.Win32.Briss.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Programme\AVPersonal\INFECTED\WINZR32.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Hallo,

lade Dir clearprog.
führe das Programm durch Doppelkliick aus.
Häckchen bei "alles Löschen" und dann auf "Löschen" klicken.
Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung.
http://www.systemwiederherstellung-d...indows-xp.html

Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken

Lösche die als "infected" erkannten Dateien.

Falls eine Datei trotzden nicht zu finden ist mach dies:

Zitat:

Cidre

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok

Navigiere im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei

dartus

Danke für die Antwort schonmal Dartus...
aber eine Frage bleibt doch:

Bekomm ich mein System wirklich sauber?
Ich meine, lohnt sich das am Ende auch oder
wäre ein Neuaufsetzen in meinem Fall der
bessere Weg? In Anbetracht meiner Ergebnisse.

Na ich kann mich schon mal mit den beiden
von dir empfohlenen Programmen beschäftigen...

Zitat:

Bekomm ich mein System wirklich sauber?

Kann man nie 100 % garantieren.

Zitat:

Ich meine, lohnt sich das am Ende auch oder
wäre ein Neuaufsetzen in meinem Fall der
bessere Weg? In Anbetracht meiner Ergebnisse.

Kommt auf den Aufwand an und was gefunden wurde (Backdoor-Trojaner). Um wirklich sicher zu sein, ist Format C: natürlich das beste.

Hier etwas lesenswertes nicht nur als anleitung zur Neuinstallation:

http://www.trojaner-board.de/showthread.php?t=12154

dartus