Avira findet TR/Agent.abr |
||
---|---|---|
#0
| ||
01.10.2010, 21:05
Member
Beiträge: 125 |
||
|
||
01.10.2010, 22:23
Moderator
Beiträge: 5694 |
#2
Hallo und herzlich Willkommen auf Protecus.de
Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte: • Halte Dich an die Anweisungen des jeweiligen Helfers. • Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an. • Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden. • Bitte arbeite jeden Schritt der Reihe nach ab. • Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben. • Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt. • Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist. • Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden. • Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden. • Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird. • Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert. • Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät. • In letzter Instanz ist dann immer der User welcher entscheidet. Vista und Win7 User: Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen. Schritt 1 Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf) Lade Malwarebytes Anti-Malware (ca. 2 MB) von diesem Downloadspiegel herunter: Malwarebytes * Anwendbar auf Windows 2000, XP, Vista und Windows 7. * Installiere das Programm in den vorgegebenen Pfad. * Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten. * Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand. * Aktiviere "Komplett Scan durchführen" => Scan. * Wähle alle verfügbaren Laufwerke aus und starte den Scan. * Wenn der Scan beendet ist, klicke auf "Zeige Resultate". * Bei Funden in C:\System Volume Information den Haken entfernen. Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren. Er könnte jedoch trotz Malware noch gebraucht werden. * Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen". * Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread. * Nachträglich kannst du den Bericht unter "Scan-Berichte" finden. * Berichte, wie der Rechner nun läuft. Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en: • alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein, • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen), • nichts am Rechner getan werden, • nach jedem Scan der Rechner neu gestartet werden. • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten! Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern. • Gmer ist geeignet für => NT/W2K/XP/VISTA. • Alle anderen Programme sollen geschlossen sein. • Starte gmer.exe (hat einen willkürlichen Programm-Namen). • Vista-User mit Rechtsklick und als Administrator starten. • Gmer startet automatisch einen ersten Scan. • Sollte sich ein Fenster mit folgender Warnung öffnen: Code WARNING !!! • Unbedingt auf "No" klicken, anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren. • Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein. . • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware", • Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files. • Wichtig: "Show all" darf nicht angehakt sein! • Starte den Scan durch Drücken des Buttons "Scan". Mache nichts am Computer während der Scan läuft. • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet. • Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V). Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst! Nun das Logfile in Code-Tags posten. |
|
|
||
02.10.2010, 11:04
Member
Themenstarter Beiträge: 125 |
#3
Hallo Swisstreasure,
Update von Malwarebytes schlug ständig fehl---> Fehler 732 Nase voll, dann eben gekickt und neu installiert, Scan läuft gerade. Hier der Scan von Malwarebytes: Code
Hier schonmal der Scan von Gmer: Code
Dieser Beitrag wurde am 02.10.2010 um 12:02 Uhr von Abbo editiert.
|
|
|
||
02.10.2010, 12:06
Member
Themenstarter Beiträge: 125 |
#4
...jetzt wirds lustig, gerade poppt Avira wieder auf:
Code
|
|
|
||
02.10.2010, 22:15
Moderator
Beiträge: 5694 |
#5
Schritt 1
System mit Windows-eigenen Mitteln bereinigen Datenträger bereinigen • Start => ausführen => cleanmgr (reinschreiben) => OK • Wähle das zu bereinigende Laufwerk aus => OK • "Datenträger bereinigen"-Fenster öffnet sich. Es wird berechnet, wieviel Platz freigemacht werden kann. • Es öffnet sich das Fenster mit den zu löschenden Dateien. • Bei den zu löschenden Bereichen einen Haken machen. • Vergewissere Dich, dass Temporary Files, Temporary Internet Files und Papierkorb geleert werden => OK Temporäre Ordner bereinigen • Start => ausführen => temp (reinschreiben) => OK • Es öffnet sich der Windows-Explorer mit dem Verzeichnis => den Inhalt manuell löschen Damit hast Du den Inhalt von C:\Windows\Temp gelöscht • START => ausführen => %temp% (reinschreiben) => OK • Es öffnet sich der Windows-Explorer mit dem Verzeichnis => den Inhalt manuell löschen Damit hast Du den Inhalt der temporären Dateien Deines Benutzerkontos gelöscht. IE Cache leeren • Start => Systemsteuerung => Internetoptionen • Reiter Allgemein => Browserverlauf => löschen • Temporäre Internetdateien, Cookies und Verlauf löschen Firefox Cache leeren • Firefox starten => Extras => Einstellungen • Erweitert => Netzwerk => Bei Offline-Speicher auf Jetzt leeren klicken • Firefox beenden. Temporäre Java-Dateien löschen • Schließe alle Browser • Öffne Start => Systemsteuerung => Java • Unter dem Reiter "Allgemein" => Temporäre Internet-Dateien • Einstellungen => Dateien löschen => OK Wenn gemeldet wird, dass einzelne Dateien nicht gelöscht werden konnten, weil sie in Gebrauch sind, ist das in Ordnung. Schritt 2 ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten. Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten. • Dein Anti-Virus-Programm während des Scans deaktivieren. • Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren. • IE-User: müssen das Installieren eines ActiveX Elements erlauben. • Setze den einen Hacken bei Yes, i accept the Terms of Use. • Drücke den Button. • Warte bis die Komponenten herunter geladen wurden. • Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken. • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch. Wenn der Scan beendet wurde • Klicke Finish.• Browser schließen. • Explorer öffnen. • C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen. • Logfile hier posten. |
|
|
||
03.10.2010, 18:02
Member
Themenstarter Beiträge: 125 |
#6
Hallo Swiss,
alle gewünschten Caches und Temps gelöscht. Hier der Scan von ESET: Code
|
|
|
||
03.10.2010, 21:27
Moderator
Beiträge: 5694 |
#7
Komplettscan mit Antivir machen
AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden: Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen. Fullscan mit Antivir machen Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten). Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen. Bericht in AntiVir finden Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. Bitte im Logfile Deine Seriennummer unkenntlich machen. |
|
|
||
04.10.2010, 20:25
Member
Themenstarter Beiträge: 125 |
#8
Hallo Swisstreasure,
hier kommt der Report von Avira-Scan: Code
|
|
|
||
04.10.2010, 21:48
Moderator
Beiträge: 5694 |
#9
Noch Fragen?
|
|
|
||
05.10.2010, 09:30
Member
Themenstarter Beiträge: 125 |
#10
Guten Morgen,
Du willst mir sicher damit sagen, das der Rechner wieder sauber ist oder garnicht schmutzig war ? ;-) Gruss Abbo |
|
|
||
05.10.2010, 13:20
Moderator
Beiträge: 5694 |
#11
Da hat sich womöglich etwas in der Systemwiederherstellung verfangen. Nichtt weiter schlimm.
Mach denoch 2-3 Onlinescans: http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html |
|
|
||
06.10.2010, 22:31
Member
Themenstarter Beiträge: 125 |
#12
Hallo Swisstreasure,
Danke nochmal für den Tip mit den Online-Scans. Bitdefender= kein Fund Panda= läuft schon seit über 2 Stunden = 7 infizierte Dateien!!! Werde Panda die ganze mal die ganze Nacht durchlaufen lassen. Zur Sicherheit gerade den AVIRA-Guard angeschaltet. Wen AVIRA das Ergebnis verfälschen sollte, mach ich es eben nochmal. Den Report poste ich dann morgen. Gruss Abbo |
|
|
||
06.10.2010, 23:35
Moderator
Beiträge: 5694 |
||
|
||
07.10.2010, 07:44
Member
Themenstarter Beiträge: 125 |
#14
...und hier der Report von
[Code) ;*********************************************************************************************************************************************************************************** ANALYSIS: 2010-10-07 07:40:51 PROTECTIONS: 2 MALWARE: 4 SUSPECTS: 0 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== Avira AntiVir PersonalEdition Classic 0.0.0.0 Yes Yes AntiVir Desktop 10.0.1.44 No Yes ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\dokumente und einstellungen\papa internet\cookies\papa internet@adtech[2].txt 00170554 Cookie/Overture TrackingCookie No 0 Yes No c:\dokumente und einstellungen\mama schatz\cookies\mama schatz@overture[1].txt 03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\dokumente und einstellungen\mama schatz\lokale einstellungen\temporary internet files\content.ie5\h5idr4gf\ni[1].exe 03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{65987397-90c2-4f60-a3bf-9c55be04dcc6}\rp899\a0130099.exe 03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{65987397-90c2-4f60-a3bf-9c55be04dcc6}\rp905\a0130358.exe 03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\dokumente und einstellungen\mama schatz\lokale einstellungen\temporary internet files\content.ie5\h5idr4gf\ng[1].exe 05922253 Adware/AdOnDemand Adware No 0 No No c:\system volume information\_restore{65987397-90c2-4f60-a3bf-9c55be04dcc6}\rp903\a0130343.exe[ebay_shortcuts_1026.exe][ebayshortcuts.exe] ;=================================================================================================================================================================================== SUSPECTS Sent Location ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== [/Code) |
|
|
||
07.10.2010, 16:15
Moderator
Beiträge: 5694 |
#15
Das ist noch in der Systemwiederherstellung.
Schritt 1 Temp File Cleaner Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Schritt 2 Erstelle einen neuen Systemwiederherstellungspunkt Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User). • Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung • Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter • Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen. • Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen • Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK. Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen. |
|
|
||
alle Jahre wieder kommt der Abbo ins Forum ;-)
Es war beim Besuch einer sehr bekannten und eigentlich seriösen Hotelbewertungswebsite ***.holidycheck.**
Plötzlich poppte Avira auf und meldete folgenden Fund:
Die Datei 'C:\System Volume Information\_restore{65987397-90C2-4F60-A3BF-9C55BE04DCC6}\RP897\A0129960.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.abr' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e5df885.qua' verschoben!
und
In der Datei 'C:\System Volume Information\_restore{65987397-90C2-4F60-A3BF-9C55BE04DCC6}\RP897\A0129960.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.abr' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Bitte um Prüfung ob hier ein Befall oder ein Fehlalarm von Avira vorliegt??
Habe schonmal einen OTL-Scan gemacht:
Zitat