Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Agent.cys.3 (https://www.trojaner-board.de/46724-tr-agent-cys-3-a.html)

Methos 07.12.2007 19:52
TR/Agent.cys.3
 
Guten Abend erstmal.
Habe seit ca 3 Tagen einen Trojaner mit Namen TR/Agent.cys.3 auf meinem WinXP.
Das Virenprogramm gibt als Pfad immer C:\Windows\System32\opnkiig.dll an.
Habe schon ein paar mal versucht den Trojaner wegzubekommen, war aber bisher noch nicht erfolgreich.
Hat jemand von euch da ne Lösungsmöglichkeit?

mfg Methos

cosinus 08.12.2007 20:55
Hallo.

Werte die Datei C:\Windows\System32\opnkiig.dll bei Virustotal aus und poste die Ergebnisse. Poste auch mal ein Hijackthis-Logfile. Nimm am besten dazu diese umbenannte hijackthis.exe, dann sehen wir weiter.

kAbUkI_rUlEzZ 08.12.2007 21:51
hallo zusammen

ich habe genau das gleiche problem wie methos

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Methos 09.12.2007 14:28
so hier meine Daten.
Hijack-Logfile:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:07, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
d:\Programme\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
F:\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {370E1240-6B4D-41E7-8630-0420DBDCCCF5} - C:\WINDOWS\system32\awvvt.dll
O2 - BHO: (no name) - {4884B8A6-0CC4-42D1-8344-6E76A1E6012E} - (no file)
O2 - BHO: (no name) - {B2D2D370-1406-4BA9-8702-0BD96CBD4CBD} - C:\WINDOWS\system32\opnkiig.dll
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Verknüpfung mit ZoneAlarm Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O20 - Winlogon Notify: opnkiig - C:\WINDOWS\SYSTEM32\opnkiig.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 2762 bytes


und dann noch virustotal :AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 TR/Agent.cys.3
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.08 -
AVG 7.5.0.503 2007.12.09 Obfustat.AASN
BitDefender 7.2 2007.12.09 -
CAT-QuickHeal 9.00 2007.12.08 Trojan.Agent.cys
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 Trojan.Virtumod.244
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 -
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 Trojan.Win32.Agent.cys
Ikarus T3.1.1.12 2007.12.09 Trojan.Win32.Agent.cys
Kaspersky 7.0.0.125 2007.12.09 Trojan.Win32.Agent.cys
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 -
NOD32v2 2711 2007.12.07 -
Norman 5.80.02 2007.12.07 W32/Agent.DKSH
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 Trojan.DoS.Win32.Opdos
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 Mal/Generic-A
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.09 -
TheHacker 6.2.9.153 2007.12.07 Trojan/Agent.cys
VBA32 3.12.2.5 2007.12.07 Trojan.Win32.Agent.cys
VirusBuster 4.3.26:9 2007.12.08 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Agent.cys.3

mfg methos

cosinus 09.12.2007 17:00
Das neue Logfile offenbart noch mehr ;) Löschen wir zunächst zwei Malwaredateien, die aus dem Logfile ersichtlich sind:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
Files to delete:
C:\WINDOWS\SYSTEM32\opnkiig.dll
C:\WINDOWS\system32\awvvt.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Starte danach den Rechner im abgesicherten Modus und öffne Hijackthis mit der Option Do a system scan only - makiere diese Einträge:

Code:
O2 - BHO: (no name) - {370E1240-6B4D-41E7-8630-0420DBDCCCF5} - C:\WINDOWS\system32\awvvt.dll
O2 - BHO: (no name) - {4884B8A6-0CC4-42D1-8344-6E76A1E6012E} - (no file)
O2 - BHO: (no name) - {B2D2D370-1406-4BA9-8702-0BD96CBD4CBD} - C:\WINDOWS\system32\opnkiig.dll
O20 - Winlogon Notify: opnkiig - C:\WINDOWS\SYSTEM32\opnkiig.dll
und klick unten auf den Butto fix checked - danach Windows wieder neu starten (normaler Modus) und ein neues Logfile erstellen und posten.

Führ auch mal für weitere Analysen diese Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
(Es kann sein, dass der Link zu combofix mal wieder hakelt - wenn ja, dann überspringen wir combofix erstmal...)

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Methos 09.12.2007 18:17
avenger logfile
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hidndoxy

*******************

Script file located at: \??\C:\rvsmbeym.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\opnkiig.dll deleted successfully.
File C:\WINDOWS\system32\awvvt.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

und hjiackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:19:49, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - Global Startup: Verknüpfung mit ZoneAlarm Security.lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



mfg methos


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131