trojanergefahr infiziert mit Trojan.WIN32.Agent.fd Entfernen

#16 1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

--
es wird sehr sehr viel angezeigt werden...poste alles, ich suche dann den Virus raus

Unknown Service # 6
Service Name: Service
Display Name: Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\service.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

2.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\System32\MSIEHelper.dll
C:\WINDOWS\System32\IEFilter.dll
C:\WINDOWS\System32\Service.exe

poste dann den scanreport

----------------------------------------------------------------------------------

Troj/SrchSpy-A monitors Internet Explorer activity, and may retrieve information about browsing habits as well as inspecting and modifying search queries.

When first run, Troj/SrchSpy-A creates the following files:

<Windows system folder>\IEFilter.dll
<Windows system folder>\MSIEHelper.dll
<Windows system folder>\Service.exe
HKLM\SYSTEM\CurrentControlSet\Services\Service\
http://www.sophos.com/virusinfo/analyses/trojsrchspya.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Liebes Forum,

Pos. 1 regsearch durchgeführt

Log anbei.

Pos. 2 Avenger.

herunter geladen in einem eigenem Ordner unter C:\ gespeichert entpackt , gestartet.

Input script file gewählt
in das Fenster den Text unten einkopiert so wie er hier steht
inkl. Zeile Files to delete

Files to delete:

C:\WINDOWS\System32\MSIEHelper.dll
C:\WINDOWS\System32\IEFilter.dll
C:\WINDOWS\System32\Service.exe

Done gedrückt
Ampel gedrückt--- Fehlermeldung Could not create a new script file Error Code 0
Die Zeile Files to delete mal weggelassen--- das selbe Ergebnis.
Sicher hab ich wieder was falsch gemacht. Ich bitte um Entschuldigung, das ich das nicht immer so hinkriege, wie von Euch verlangt wird.

Viele Grüße

#18 wanderer100

Name Troj/SrchSpy-A / Trojan-Dropper.Win32.Agent.zm
http://virus-protect.org/artikel/dienste/service.html

Registry importieren
http://www.wintotal.de/Artikel/registry/registry.php
Bevor nun etwas geändert oder gelöscht wird, kommt zuerst ein Registry-Backup. Der Unterschlüssel "Run" ist farblich markiert durch den direkten Klick auf den Schlüssel. Im Menü auf "Datei - Exportieren" klicken, im neu geöffneten Fenster erscheinen nun unten, im Exportbereich, zwei Optionen. Die Option "Alles" wäre für die komplette Registry-Sicherung. Die Option "ausgewählte Teilstruktur" ist nur für den gewählten Registry-Pfad zuständig, in diesem Fall für den Unterschlüssel "Run". Unter "Dateiname", in der Mitte, wird nun der Name für den gesicherten Unterschlüssel angegeben. Beispiel: Autostart oder Run. Die Option "Dateityp" darf nicht verändert werden, hier ist die Endung .reg schon vorgegeben. Oben unter "Speichern in:" kann der Ordner ausgesucht werden, in welchem die Sicherung gespeichert werden soll.

Ist die Sicherung abgespeichert, können in diesem Registryzweig, also im Beispiel Unterschlüssel "Run", Änderungen vorgenommen werden. Sollten Probleme auftauchen, so kann die gesicherte Reg.-Datei zurückimportiert werden, entweder in der Registry über das Menü "Datei - Importieren" oder einfach per Doppelklick auf die zuvor gesicherte Reg.-Datei.


dann loesche diese Eintraege--> aber nur diese !

Start --Ausfuehren --> regedit

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Service]<--loeschen
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Service] <--loeschen
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Service] <--loeschen

bearbeiten --> suchen -->

- IEFilter.dll
- IEFilter
- {B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE}
- {303381F3-F8EE-4A8F-A3D0-240F5B2BA57E}

1. loesche jeweils, falls es vorhanden ist.

HKCR\CLSID\{B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} --> loeschen
HKCR\CLSID\{303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} --> loeschen

2. loesche jeweils, falls es vorhanden ist.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
IEFilter
{B9D06F5B-5BF3-4BC5-A58F-D1CD948478CE} --> loeschen

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
IEFilter
{303381F3-F8EE-4A8F-A3D0-240F5B2BA57E} --> loeschen

PC neustarten , in den abgesicherten modus

suche /loesche (manuell)
C:\WINDOWS\System32\MSIEHelper.dll
C:\WINDOWS\System32\IEFilter.dll
C:\WINDOWS\System32\Service.exe


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )

Zitat

regedit /e Info.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Filter"

__________
MfG Sabina

rund um die PC-Sicherheit

#19 Liebes Forum,
Antwort verstanden. Bearbeitung folgt.

MFG
der Wanderer

#20 wenn du alles abgearbeitet hast, mache bitte einen Onlinescan mit Panda
http://virus-protect.org/onlinescan.html
und poste hier den Scanbericht
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Liebes Forum,

ich kann das beschriebene z:Z nicht durchfüjhren. Man hat mich auf Montage geschickt und da habe ich
das Ding nicht dabei. Ich melde mich wieder.

Aber eins ist sicher: das ist weit un d breit das beste und kompetenteste Forum . Mein vollster Respekt!!!
Ich fühle mich umfassen beraten, und nie allein gelassen.
Speziell an Sabina:
Gibt es eine Möglichkeit, für eine Spende außerhalb Pay Donate?
Viele Grüße M.

#22 viel Spass auf Montage
Berichte, wenn du wieder am PC sitzt und die Reinigung versuchst.
Ich habe nur payPal, aber ich helfe auch ohne
__________
MfG Sabina

rund um die PC-Sicherheit