Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojan.Agent (https://www.trojaner-board.de/93599-trojan-agent.html)

AOCC 08.12.2010 20:23
Trojan.Agent
 
Guten Abend, ich bin neu hier und bringe gleich ein Problem mit. Auf meinem Rechner habe ich einen Trojan.Agent, der diesen verlangsamt, nach 2-3 Std. einen Absturz verursacht, nach Neustart läuft er wieder.
Scannen mit Malwarebytes brachte folgendes Ergebnis:
Malwarebytes' Anti-Malware 1.50
ww.malwarebytes.org
Datenbank Version: 5273
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
08.12.2010 18:57:51
mbam-log-2010-12-08 (18-57-51).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 128757
Laufzeit: 5 Minute(n), 27 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Scannen mit Spyware Doctor brachte folgendes Ergebnis:
Registry-Wert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot, NextInstance
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Legacy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, ConfigFlags
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Class
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, ClassGUID
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, DeviceDesk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000, Capabilities

Registry-Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000\LogConf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Ndisprot

So, ich hoffe ich habe alles richtig übertragen (StrgC+StrgV ging hier nicht). Würde mich über kurzfristige Hilfe freuen.

markusg 08.12.2010 20:38
welches programm zeigt dir den trojan agent wo an?
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

AOCC 08.12.2010 20:42
Trojan.Agent
 
Der Trojaner wird über Spyware Doktor angezeigt, alle anderen zeigen nichts an.

Mache jetzt mal los, wie Du beschrieben hast.

Gruss, Joerg

soll ich die als *.zip senden, bei otl sind es 31 Seiten?!

so habe sie gepackt und als *.zip mit gesendet. Gruss Joerg

markusg 08.12.2010 21:40
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

AOCC 08.12.2010 22:18
sende die datei wieder als *.zip, Gruss Joerg

markusg 09.12.2010 13:16
bitte mache nen komplett scan mit malwarebytes, nach update. dann das ergebniss posten

AOCC 09.12.2010 15:13
Erledigt, hier ist das Ergebnis:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5279

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.12.2010 15:11:26
mbam-log-2010-12-09 (15-11-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|)
Durchsuchte Objekte: 187329
Laufzeit: 44 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
f:\programme\System\clonecdkg.exe (Trojan.Agent.CK) -> No action taken.
f:\programme\dvd bearbeitung\clone_dvdmobile\clone dvdmobile\Patch.exe (RiskWare.Tool.CK) -> No action taken.

Gruss Joerg

markusg 09.12.2010 15:19
was ist das:
f:\programme\dvd bearbeitung\clone_dvdmobile\clone dvdmobile\Patch.exe

AOCC 09.12.2010 16:02
habe unter F einige Programme gespeichert, die ich unter C nicht brauche.
was das ist kann ich auch nicht sagen.
Textdokument:
1. Patch starten, CloneDVDmobile -> Häkchen bei "Crack" und dann auf Patch klicken
2. Keygen starten, Daten generieren und auf "Register" klicken (optional)

markusg 09.12.2010 16:20
sorry, bei keygens gibts nur noch suport zum neu aufsetzen.

AOCC 09.12.2010 17:50
neu aufsetzen?, d.h. ich muss das Betriebssystem neu installieren?

markusg 09.12.2010 17:52
genau, und vorher daten sicherung machen.
dann solltest du dabei gleich alles an keygens los werden, diese bringen meist malware mit sich, außerdem ists illegal und für jede bezahlsoftware gibts auch freie alternativen.
eine anleitung zu neu aufsetzen und absichern kannst du gern bekommen.

AOCC 09.12.2010 17:54
schon beantwortet

AOCC 09.12.2010 17:57
ja, die hätte ich gerne.
Eine Frage noch, da dies auf Laufwerk F auftaucht reicht es nciht aus, diese Dateien zu löschen und 2. Spyware doktor hat auch nioch was in C gefunden.

markusg 09.12.2010 18:04
nein das reicht nicht aus. und warum sollte spyware dr das maß aller dinge sein. kein programm hat ne 100 %ige erkennung.
ok sichere also erst mal daten und dann gehts weiter.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:00 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131