Trojaner - TR/Drop.Agent.dgo.8

  • geschlossen
  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Trojaner - TR/Drop.Agent.dgo.8

    Hallo, ich habe seit gestern ein Problem mit einem Trojaner. Ich benutze Antivir (Freesoft). Dieser Trojaner nennt sich TR/Drop.Agent.dgo.8 und kehrt jedesmal nach einem Neustart oder einem normalen Start "2" Mal zurück auf meinen PC, diesen entferne ich natürlich sofort. Allerdings scheint die "Wurzel" nicht beseitigt zu sein, denn wie beschrieben kommt er immer zurück. Nähere Angaben dazu, also als er zum ersten mal auftrat und ich ihn entfernte, ging AOL 9.0 nicht mehr. Wurde aus dem Verzeichnis gelöscht oder ich kam einfach nicht mehr rein. Auch beim nächsten mal installieren wieder beim entfernen, nach einem Neustart, -> AOL funktionslos.

    Bitte helft mir :( dieses Problem loszuwerden
  • Logfile of HijackThis v1.99.1
    Scan saved at 16:29:57, on 07.01.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\PROGRA~1\FREEDO~1\fdm.exe
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\Dokumente und Einstellungen\Majo\Lokale Einstellungen\Temp\wz3305\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    F3 - REG:win.ini: load=C:\WINDOWS\system32\pmnlk.exe
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
  • Also so kann ich jetzt nichts feststellen.

    Wenn der Virus immer wieder nach dem Neustart wieder Alarm schlägt liegt das daran das die infizierte Datei in die Sicherung miteinbezogen wurde.

    Der Ablauf läuft wie folgt ab:

    1. AntiVir löscht oder verschiebt den Virus
    2. Du machst nen Neustart deines PC's
    3. Wenn der PC Neu gestartet wird kopiert die Systemwiederherstellung von Wndows die infizierte Datei wieder zurück in das von dir eben gesäuberte System.
    4. Die Endlosschleife mit deinem AntiVir nimmt Ihren Lauf.



    Problembehandlung die du machen solltest ist folgende:

    1. Säubere deinen PC mit AntiVir wie es du es schon die ganze Zeit machst.
    2. Deaktiviere die Systemwiederherstellung.
    2.1 Die deaktivierst du indem du einen "Rechtsklick" auf deinen Arbeitsplatz machst und auf "Eigenschaften" klickst.
    2.2 Du wählst dann den Reiter "Systemwiederherstellung" und deaktivierst Sie indem du einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktvieren" setzt.
    3. Den Vorgang bestätigst du 1 mal mit "Ok" und einmal mit "Ja".
    4. Starte deinen Rechner neu.
    5. Es sollte keine Meldung von AntiVir auftauchen da Du die Datei entfernt hast, sofern du Schritt 1 getan hast ;).


    Du kannst natürlich auch etwas sensibler an die Sache ran gehen, wie man Viren etc los wird.
    Lies dann das hier mal durch: eScan-Anleitung - Trojaner-Board
  • :) man o man schon paar mal hier im board geschrieben wie man sowas entfernt

    1. datei vom virus/trojaner merken! (schau was dein Vierenprogramm sagt)
    2.PC neu starten f8 drücken in den abgesicherten modus
    3.zur vieren /trojaner datei hin und löschen.
    4.systemwiederherstellung löschen
    5.alle temp ordner löschen ( Lokale Einstellungen u, Windows/Temp)
    6.neu starten
    7.alles ok.scann durchführen als test.


    falls dieses mal nicht klappen sollte ein hilfstool für diesen Trojaner suchen
    und entfernen.:)

    so nun schau dir dieses mal an

    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    gehe dort mal hin zur der datei und gehe mal auf eigenschaften
    schaue dir die datumsangaben an!!

    ich vermute das ist der übeltäter,der hat da nix zu suchen!!!

    hoffe es hilft dir etwas weiter und melde dich wenn es alles geklappt hat

    gruß wakiya:drum:
  • wakiya schrieb:

    so nun schau dir dieses mal an

    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    gehe dort mal hin zur der datei und gehe mal auf eigenschaften
    schaue dir die datumsangaben an!!

    ich vermute das ist der übeltäter,der hat da nix zu suchen!!!


    Das ist nicht der Übeltäter, solange er auf seinem Computer Punkbuster installiert hat :)
    Razor 1911 <---FOREVER, Non-member UED alias RIP is fucking proud to present you all wish.