Home » Viren, Trojaner & Malware Forum » Wie Trojaner TR/Agent.AW.1 entfernen? » Themenansicht

Wie Trojaner TR/Agent.AW.1 entfernen?
#0
10.02.2005, 14:56
mandi
...neu hier

Beiträge: 4
#1 Hallo,
ich brauche da mal hilfe :

trotz virenschutz von antivir, stinger und bazooka hat mich ein trojaner namens TR/Agent.AW.1 erwischt. ist durch nichts zu elemnieren.
kann mir da jemand helfen ?
mandi
Seitenanfang Seitenende
11.02.2005, 19:08
Rolfs
Member

Beiträge: 239
#2 Hallo, lade dir das Tool AdAware, Spybot und CWShredder und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware, Spybot und CWShredder laden. Anschließend starte dein Antivirenprogramm.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

Rolfs
Seitenanfang Seitenende
13.02.2005, 11:36
mandi
...neu hier

Themenstarter

Beiträge: 4
#3 Hier die Logfile von Hijack this :
Logfile of HijackThis v1.99.0
Scan saved at 11:33:38, on 13.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\SECRETMAKER\secretmaker.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {03E1894E-6097-3CFE-4528-722F8584D2D4} - C:\WINDOWS\System32\tvgwnelr.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3876B0A2-B881-CBE4-414D-483A3BF7E6B8} - C:\WINDOWS\System32\temiaoga.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {94A51107-0501-A451-2FA2-3454F16E4CF7} - C:\WINDOWS\System32\diutuvea.dll (file missing)
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\System32\smiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/aktenkoffer/activex/upload_11110.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: by the way - Unknown - C:\WINDOWS\System32\mynsftzb5.exe (file missing)
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Seitenanfang Seitenende
16.02.2005, 07:54
Toni999
...neu hier

Beiträge: 1
#4 Hallo,

konnte der Trojaner nun erfolgreich entfernt werden? Wenn ja, wie?

Danke

Toni999
Seitenanfang Seitenende
16.02.2005, 08:31
mandi
...neu hier

Themenstarter

Beiträge: 4
#5 Habe Ad Aware durchlaufen lassen, dann Spybot, dann CWShredder, dann Panda online scan, dann Antivir und zum Schluß HighjackThis. Allerdings musste die Prozedur 3 x wiederholt werden. Dann war alles wieder OK.
Zwischendurch hatte sich der Trojaner immer mal wieder wo anders versteckt
Seitenanfang Seitenende
19.02.2005, 17:41
Tucky
...neu hier

Beiträge: 2
#6 Hallo,

habe ein ähnliches Problem. Bei mir haben sich die Trojaner Agent.IL und Agent GD.1 eingenistet und sind durch Antivir entdeckt worden, lassen sich aber damit nicht löschen. Folgende Dateien sind infiziert. Die Datei C:\DL1.exe und C:\Windows\System\ELITEHST32.exe.
Wie kann ich an diese Dateien herankommen und sie eleminieren.
Für einen guten und brauchbaren Tipp und evenuell Anleitung wäre ich sehr dankbar.

Grüsse und Dank im voraus

Tucky
Seitenanfang Seitenende
19.02.2005, 18:02
Rolfs
Member

Beiträge: 239
#7 C:\Windows\System\ELITEHST32.exe.

Lass diese Datei hier online prüfen und sag uns das Ergebniss
http://www.kaspersky.com/scanforvirus

Rolfs
Seitenanfang Seitenende
19.02.2005, 18:38
mandi
...neu hier

Themenstarter

Beiträge: 4
#8 Hallo Tucky,
versuch es mal wie oben von mir beschrieben. Könnte klappen. Ist nur eine Mordsarbeit.Dauert eben schon ein paar Stunden.
Seitenanfang Seitenende
19.02.2005, 19:15
Tucky
...neu hier

Beiträge: 2
#9 Hallo,

danke für eure Tipps. Habe das Problem nach vielen Stunden endlich lösen können. Habe den AntiVir Guard während des Bootens deaktiviert, um Rolfs Tipp mit scanforvirus zu probieren und dann anschließend den Virenscanner drüberlaufen lassen. Die infizierten Dateien, die gemeldet wurden, konnten dann problemlos gelöscht werden.

Nochmals Danke und Grüsse

Tucky
Seitenanfang Seitenende
16.12.2009, 16:13
SonyWest
...neu hier

Beiträge: 1
#10 Hey ich habe auch son Problem . Antivir hat heute diesen Virus : TR/Agent.bws.B festgestellt er lässt sich aber nicht mit AntiVirt löschen. Er wurde in der datei : C:/System/Windows/system32/sshnas.dll gefunden
weiß jemand wie ich ihn los werde ? am besten nichts kompliziertes ;) freue mich über jede schnelle Hilfe
Seitenanfang Seitenende
16.12.2009, 16:18
virenfinder
Member

Beiträge: 3716
#11 Bitte abarbeiten, logs posten.
http://board.protecus.de/t23188.htm
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1