TrojanDownloader.Win32.Agent.ab - wie entfernen?

#1 Hallo,

a2 guard hat TrojanDownloader.Win32.Agent.ab gefunden. Kann den Startvorgang zwar verhindern aber löschen kann man ihn nicht. Er wird auch nur vom aktiven Wächter gefunden nicht beim scannen des Systems.

Könnt ihr mir helfen?
Irgend wie merk ich das immer mehr Programme abstürzen usw.

Vielen Dank im vorraus lg Radiomoderator

#2 #Deaktiviere kurz deinen Virenscanner und lade Antivirus
http://www.free-av.com/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Geh in den abgesicherten Modus...das ist wichtig !!!!!!!!!11
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.
..............................................................................................................

normal neustarten

Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
http://hjt.klaffke.de/
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

Sabina postete
#Geh in den abgesicherten Modus...das ist wichtig !!!!!!!!!11

Danke! Aber ich benutze Wndows 2000 soviel ich weis gibt es da keinen Abgeschlossenen Modus mehr... was soll ich da tun?

#4

Zitat

Radio postete
Aber ich benutze Wndows 2000 soviel ich weis gibt es da keinen Abgeschlossenen Modus mehr... was soll ich da tun?

Einfach auf diesen Link klicken
http://www.bsi.de/av/texte/winsave.htm

und es nachlesen, es gibt den abgesicherten Modus

Glaubs uns

Aber für dich schreib ichs raus

Zitat

Es geschieht in folgenden Schritten.
Neustart des Computers.
Ist der Bildschirm schwarz /weiß und es erscheint "Start Windows", in der Statuszeile dann die Taste "F8" betätigen. Es erscheint das Windows Startmenü mit folgenden Punkten:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung (DOS-Prompt)
Startprotokollierung aktivieren
VGA - Modus aktivieren
Letzte als funktionierende bekannte Konfiguration
Verzeichnisdienstwiederherstellung (Windows 2000 Domaincontroller)
Debugmodus
Normal starten
Zum Betriebssystemauswahlmenü zurückkehren

Wählen Sie die Startoption für Ihre Bedürfnisse.
Abgesicherter Modus* Windows startet im abgesicherten Modus mit der Windows GUI-Oberfläche
Abgesicherter Modus mit Netzwerktreibern Windows startet im abgesicherten Modus mit der Windows GUI-Oberflächen und Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung (DOS-Prompt) Windows startet im abgesicherten Modus im DOS-Modus (ohne GUI- Oberfläche und ohne Netzwerktreiber)

*Am häufigsten wird der abgesicherte Modus gewählt.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Hi, Danke. Sorry stimmt mit dem abgesicherten Modus *schämtsich*.
Jo... hab eure Tipps befollgt.

Über 80 Dateien waren mit DSO Exploid Infiziert. Nicht alle konnten entfernt werden. Keine einzige wurde reperiert.

Nach einem Neustart hat nix mehr funktioniert, der Pc ist immer abgestürtzt. Also blieb mir nix anderes übrig einige wichtige Dateien im abgesicherten Modus auf CD zu brennen!

Was mich allerdings sehr beunruhigt ist die Tatsache das Norton Anti-Virus2004 - regelmäßig geupdated (eigentlich sollte der ja was leisten für den Preis) keine einzige Meldung rausgab das mein PC infiziert ist.. Auch beim scannen das systems nicht. Aber ein kostenloser gleich über 80 infizierte Dateien findet.

Ich dachte vorher eigentlich ich wäre mit Norton AntiVirus auf der sicheren Seite.

Wie kann ich mich denn am besten schützen? Ich meine zwei Virenwächter auf einmal stören sich ja soviel ich weis.

Habt ihr vielleicht ne Idee was ich tun kann?
Vielen Dank lg
Radio...

#6 @radio

Geh mal auf diese Seite
Die machen Virenscanner Test
www.rokop-security.de

Da schneidet Norton nie gut ab, ebenso McAfee. Die haben nur die beste Werbung.
Mach dich einfach schlau


Poste am besten mal dein HiJackthis logfile
http://hjt.klaffke.de/
Weil wo ein Trojaner ist , sind meistens auch noch andere

Zitat

Über 80 Dateien waren mit DSO Exploid Infiziert

Was soll das bedeuten????????????????

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 DSO Exploid is dieser Virus oder Trojaner oder so.. keine ahnung.. Gibt noch ne genauere bezeichnung die weis ich jetzt nicht..

Auf jeden Fall kann ich mir nicht vorstellen dass ich nach dem formatieren noch Viren hab.



Logfile of HijackThis v1.98.0
Scan saved at 13:09:50, on 14.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\MsiExec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DCDD903-1481-462A-8B8C-DC485AE194DD}: NameServer = 217.237.151.97,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3DCDD903-1481-462A-8B8C-DC485AE194DD}: NameServer = 217.237.151.97,194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{3DCDD903-1481-462A-8B8C-DC485AE194DD}: NameServer = 217.237.151.97,194.25.2.129

#8

Zitat

Radio postete
Auf jeden Fall kann ich mir nicht vorstellen dass ich nach dem formatieren noch Viren hab.

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Wenn du deinen IE auf dem Patchlevel läßt dauerts bestimmt nicht lange bis du wieder Trojaner auf der Maschine hast

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 schon geupdated! Mach ich regelmäßig.. also auch zu dem Zeitpunkt also eigentlich sofort wenn bekannt wird das ein neuer Patch da ist.

Trotzdem kam der Trojaner auf den PC..