Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Spy.Agent.KJ (https://www.trojaner-board.de/26844-tr-spy-agent-kj.html)

Franz1951 15.02.2006 08:03
TR/Spy.Agent.KJ
 
Hallo zusammen,

habe mir wohl gestern den Trojaner TR/Spy.Agent.KJ eingefangen. Jedenfalls krieg ich von meinem Antivir PE classic immer eine entsprechende Meldung. Spybot und Adaware zeigen hingegen nichts an. Im ganzen Netz find ich nichts über diesen Trojaner. Wie werd ich ihn wieder los? Antivir kann ihn nicht dauerhaft löschen. Nach dem Neustart (windows XP) krieg ich die Trojaner-Meldung wieder. Ist dieser Trojaer gefährlich?

Danke vorab für eure Hilfe.

Franz

dartus 15.02.2006 11:40
Hallo Franz1951,

welche Datei und wo (genau Pfadangabe) wird Antivir fündig?

Poste bitte darüberhinaus ein Hijackthis-Logfile.

dartus

dr_scharfsinn 16.02.2006 09:55
Hallo zusammen,

ich habe so ziemlich das selbe Problem wie Franz1951.

Seit heute Morgen warnt mich AntiVir PE Classic vor dem Trojaner TR/Spy.Agent.KJ. Er ist in der Datei: C:\Windows\system32\tphklock.dll

Löschen der Datei mit AntiVir funktioniert nicht. Beim neustart erscheint die selbe Meldung wieder. Manuelles Löschen habe ich noch nicht versucht, da ich nicht weiss, ob es sich dabei um eine wichtge Datei handelt. Beim Versuch die Datei mit AntiVir in Quarantäne zu verschieben kommt die Fehlermeldung, das dies nicht möglich sei, und dass die Datei möglicherweise "geloggt" ist.

Bin für jede Hilfe dankbar. Im netz find ich bisher keinerlei konkrete Hilfe zu dem Problem.

dr_scharfsinn

dartus 16.02.2006 10:33
Hallo dr_scharfsinn,

sende eine Kopie der Datei wie beschrieben zu Antivir.
Du wirst nach einer Prüfung benachrichtigt.
Weiterhin kannst Du die Datei HIER und DORT online scannen.
Vermutlich ist das Ganze ein Fehlalarm --> http://castlecops.com/o20list-153.html

dartus

dr_scharfsinn 16.02.2006 12:39
Hallo dartus,

vielen dank für die schnelle hilfe. Habe beide online scanner ausprobiert. Hier die Ergebnisse:

result@http://virusscan.jotti.org/de/

AntiVir Keine Viren gefunden
ArcaVir Trojan.Spy.Agent.Kj gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.KeyLogger.401 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Spy.Win32.Agent.kj gefunden



result@http://www.virustotal.com/flash/respuesta_sav/

AntiVir no virus found
Avast no virus found
AVG no virus found
Avira no virus found
BitDefender no virus found
CAT-QuickHeal no virus found
ClamAV no virus found
DrWeb Trojan.KeyLogger.401
eTrust-InoculateIT no virus found
eTrust-Vet no virus found
Ewido no virus found
Fortinet no virus found
F-Prot no virus found
Ikarus no virus found
Kaspersky no virus found
McAfee no virus found
NOD32v2 no virus found
Norman no virus found
Panda no virus found
Sophos no virus found
Symantec no virus found
TheHacker Trojan/Spy.Agent.kj
UNA Trojan.Spy.Win32.Agent
VBA32 Trojan-Spy.Win32.Agent.kj

Irgendwie finde ich sieht das nicht nach einem Fehlalarm aus, oder?
Weiterhin habe ich die datei wie beschrieben an AntiVir geschickt. Mal sehen was die so antworten.

Gruß
dr_scharfsinn

mayerman 16.02.2006 17:26
Hallo zusammen,

sehr interessant das ganze. Ich habe auch ein Thinkpad T20 und AntiVir PE auf WinXP und ebenfalls gestern wurde die Datei TPHKLOCK.DLL als TR/Spy.Agent.KJ identifiziert. Es handelt sich hierbei um eine DLL aus den HOTKEY-Treibern von IBM. Ich konnte die Datei allerdings problemlos mit Antivir löschen.

Also entweder sucht sich dieser seltsame Trojaner nur Thinkpads aus oder AntiVir läuft hier Amok (was ich mittlerweile fast glaube). Ich weiß auch nicht so recht, wie ich mir den Schädling hätte holen sollen. Das einzige, was ich in der Zeit neu installiert habe ist ffdshow.

Vielleicht bringt das Board ja noch Licht ins Dunkel.

Grüße
mayerman

dr_scharfsinn 17.02.2006 03:28
Hallo zusammen,

seltsamerweise meldet AntiVir bei mir seit gestern abend (also noch derselbe tag an dem das problem morgens zum ersten mal auftrat) keinerlei Trojaner in der Datei (C:\WINDOWS\system32\tphklock.dll) mehr. Auch beim manuellen durchchecken der datei mit AntiVir wird nix mehr gefunden.

Das AntiVir support team hat noch nicht geantwortet.

Die besagten zwei online-scanner bringen nach erneutem check weiterhin das selbe Ergebnis (s.o.).

@mayerman
mich würd mal interessieren ob du seit dem du die Datei gelöscht hast irgendwelche Einschränkungen in der Nutzung der hotkeys festgestellt hast. der name tphklock lässt ja auf irgendeine Sperrfunktion der Tasten (von der ich bisher aber noch nie was gehört habe) schliessen.

Grüße
dr_scharfsinn

mayerman 17.02.2006 08:47
Hallo,

es sieht so aus, als würde sich die Vermutung bestätigen, dass es sich hier um einen Fehlalarm von AntiVir handelt. Nach dem gestrigen Update des Virenscanners schlägt dieser auch bei mir nicht mehr Alarm (ich habe die besagte Datei tphklock.dll dazu aus der Quarantäne geholt und neu gescannt, man kann zudem die Dateien direkt in der Quarantäne noch einmal prüfen).

@dr_scharfsinn
Ich habe nach dem Löschen der Datei bisher keinerlei Beeinflussung des Systems festgestellt.

Eine Bemerkung noch am Rande. Seit AntiVir die neue Version herausgebracht hat, geht mir das Produkt ziemlich auf die Nerven! Ich nutze AntiVir seit Ewigkeiten und war bisher super zufrieden. Die neue Version ist langsam, nervt mich ständig mit Updates, die mehrheitlich fehlschlagen, jeden Tag meldet sich das Windows Sicherheitscenter und meldet AntiVir ist nicht aktuell und die schieben schon wieder irgendein Update hinterher. Wenn das so weiter geht, werde ich mich nach einer Alternative umsehen. Sollen die sich doch andere Beta-Tester suchen.

Schönen Tag noch zusammen, bald ist Wochenende... :party:

Grüße
mayerman

dr_scharfsinn 17.02.2006 09:19
@mayermann

ja, ich glaube auch bei mir hat AntiVir esrt nach dem update nicht mehr angeschlagen. Wird wohl ein fehlalarm gewesen sein.

Was deine Einstellung zu der neuen AntiVir Version betrifft kann ich in allen Anklagepunkten nur voll und ganz zustimmen. Du sprichst mir sozusagen aus dem Herzen.

schönen Tag auch
dr_schrfsinn

Franz1951 17.02.2006 11:05
Danke für alle eure Infos.
Bei mir hat sich das Problem zwischenzeitlich auch wieder erledigt. Aber erst, nachdem ich die aktuelle Version von a-squared (a²) installiert und hab drüberlaufen lassen. Der hat gleich mehrere verdächtige Dateien unschädlich gemacht. Danach hat auch der Antivir nichts mehr angezeigt.

Grüße

Franz

dr_scharfsinn 21.02.2006 03:11
Hallo zusammen,

ich habe mittlerweile Antwort von AntiVir bekommen. Hier das Zitat:

"in der uns vorliegenden Datei wird von AntiVir mit der aktuellen VDF
nichts gemeldet. Vermutlich handelt es sich hierbei um einen älteren Fehlalarm, welche mit der aktuellen VDF von AntiVir nicht mehr vorliegt."

Auch bei mir wird die Datei seit dem update nicht mehr als Trojaner erkannt. Habe seitdem keinerlei Probleme mehr, ohne irgendwas gelöscht zu haben.

Gruß
dr_scharfsinn


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131