|
Lästiger Trojaner - TR/Dldr.Agen.aef.21 hallo, ich habe ein ziemlich hartnäckiges Problem bei dem mir hoffentlich jemand helfen kann. Der Trojaner den ich mir eingefangen habe wird laut "AntiVir PE Classic" TR/Dldr.Agen.aef.21 genannt. Er erstellt ständig eine Datei mit dem Namen "tmp_d4v.exe" im System32 Ordner. Egal was ich versucht habe (und das war nicht wenig :-) ich erhalte immer wieder die Fehlermeldung und die Datei kommt natürlich auch wieder. Meistens tritt sie direkt nach einem Neustart auf. Wäre echt super wenn mir jemand helfen könnte. :heulen: Mfg --------------- Hier noch das aktuell HJT Protokoll Logfile of HijackThis v1.99.1 Scan saved at 23:53:57, on 07.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\system32\notepad.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\svchost.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/045daece2f951fe53020/netzip/RdxIE601_de.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\systk.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
C:\WINDOWS\system32\systk.dll C:\WINDOWS\system32\cmd32.exe Diese beiden Dateien sollten wir mal genauer untersuchen. Damit du die online auswerten kannst, solltest du diese zuerst mal mit Killbox löschen. Denn es ist nicht unwahrscheinlich, dass diese Dateien vom Schädling "geschützt" sind und somit der Zugriff darauf verhindert wird. Besorg dir Killbox und starte es. Kopier dazu die Pfadanangaben zuerst von einer Datei in das Adressfeld von Killbox. Dann aktivierst du die Option "Delete on reboot" und klickst auf das rote Schild mit dem weißen X. Die folgende Frage mit Nein beantworten, sonst würde das System neustarten, aber wir wollen ja, das beide Dateien beim nächsten Systemstart gelöscht werden. Das gleiche machst du dann mit der anderen Datei auch und startest dann Windows neu. Schau mal danach in den neuen Ordner C:\!KILLBOX\, ob sich dort die Dateien drin befinden, denn Killbox legt dort jew. eine Sicherheitskopie an. Achte darauf, dass alle Dateien angezeigt werden. Werte dann diese beiden Dateien anschließend bei Virustotal aus und poste sämtliche Ergebnisse, auch Infos zu Dateigrößen und Prüfsummen. Mach auch mal bitte einen Check mit Blacklight und poste das Ergebnis. |
Vielen Dank für die schnelle Info. Leider bin ich bis ca. 17.30 Uhr auf Arbeit. Ich werde es allerdings gleich machen wenn ich zu Hause bin und die Ergebnisse posten. Mfg |
So hier ein kurzer Zwischenstand: Killbox hat nur eine der beiden Dateien in dem Verzeichnis abgelegt(C:\!KillBox) systk.dll Ich habe zwar die andere auch angegeben aber anscheinend wollte er die nicht löschen. Nach dem Reboot hab ich wieder versucht die Datei zu löschen doch diesmal brachte Killbox folgende Meldung: PendlingFileRenameoperations Registry Data has been Removed by External Process! ---------- Virustotal gibt mir hier eine Wartezeit von ca. 3 Stunden daher poste ich sobald ich das Ergebnis habe von systk.dll ---------- Hier noch die Ergebnisse von Blacklight: Status: Scan completed. No hidden items were found. Summary: Bei beiden steht 0 oder meinst du die Textdatei? 01/08/07 18:03:04 [Info]: BlackLight Engine 1.0.55 initialized 01/08/07 18:03:04 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/08/07 18:03:04 [Note]: 7019 4 01/08/07 18:03:04 [Note]: 7005 0 01/08/07 18:03:10 [Note]: 7006 0 01/08/07 18:03:10 [Note]: 7011 168 01/08/07 18:03:10 [Note]: 7026 0 01/08/07 18:03:10 [Note]: 7026 0 01/08/07 18:03:11 [Note]: FSRAW library version 1.7.1021 01/08/07 18:04:00 [Note]: 2000 1012 01/08/07 18:04:00 [Note]: 2000 1012 01/08/07 18:04:00 [Note]: 2000 1012 ---------- P.S. Meine Interverbindung baut sich auch nicht mehr richtig auf. Es dauert mehrere Minuten. (Wenn ich den Virusprogrammierer in die Finger kriege :kloppen: ) |
Okay, dann mach mal einen Check mit eScan => Direktlink, Anleitung siehe Signatur. Du solltest dich aber sicherheitshalber schonmal auf eine Neuinstall einrichten. Warten wir aber erstmal die Ergebnisse ab. |
Ok hier das Virustotal Ergebnis: Link: http://www.virustotal.com/vt/en/resultadof?48e0e838a2ee69309c3d08b4368070b5 STATUS: FINISHEDComplete scanning result of "systk.dll", received in VirusTotal at 01.08.2007, 18:09:20 (CET). Antivirus Version Update Result AntiVir 7.3.0.21 01.08.2007 no virus found Authentium 4.93.8 12.30.2006 could be infected with an unknown virus Avast 4.7.892.0 12.30.2006 no virus found AVG 386 01.08.2007 Downloader.Small BitDefender 7.2 01.08.2007 Trojan.Downloader.Small.BXW CAT-QuickHeal 9.00 01.08.2007 no virus found ClamAV devel-20060426 01.08.2007 Trojan.Downloader.Small-3016 DrWeb 4.33 01.08.2007 Trojan.DownLoader.14310 eSafe 7.0.14.0 01.08.2007 no virus found eTrust-InoculateIT 23.73.107 01.06.2007 no virus found eTrust-Vet 30.3.3311 01.08.2007 Win32/Logho Ewido 4.0 01.08.2007 Downloader.Small.cyn Fortinet 2.82.0.0 01.08.2007 W32/Small.BXW!tr.dldr F-Prot 3.16f 01.05.2007 could be infected with an unknown virus F-Prot4 4.2.1.29 01.05.2007 no virus found Ikarus T3.1.0.27 01.08.2007 no virus found Kaspersky 4.0.2.24 01.08.2007 Trojan-Downloader.Win32.Small.cyn McAfee 4934 01.08.2007 no virus found Microsoft 1.1904 01.07.2007 no virus found NOD32v2 1963 01.08.2007 Win32/TrojanDownloader.Small.CYN Norman 5.80.02 12.31.2007 W32/DLoader.gen5 Panda 9.0.0.4 01.07.2007 Trj/Downloader.LFO Prevx1 V2 01.08.2007 no virus found Sophos 4.13.0 01.05.2007 Troj/Foghor-Gen Sunbelt 2.2.907.0 01.05.2007 no virus found TheHacker 6.0.3.146 01.08.2007 Trojan/Downloader.small UNA 1.83 01.06.2007 no virus found VBA32 3.11.1 01.08.2007 no virus found VirusBuster 4.3.19:9 01.08.2007 Trojan.DL.Small.Gen.22 Aditional Information File size: 4096 bytes MD5: ef7b3d8ee32ce9f57d67a19265e3b5af SHA1: 1c8139c7e5083d35c9ebf966977343996f0f9c6e P.S. Sorry wenn ich immer ne neue Antwort schreibe. Finde die Editier Option nicht :dummguck: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board