Seltsamer Trojaner

  • Ich scheine mir in den letzten Tagen einen Trojaner eingefangen zu haben, der mir Rätsel aufgibt. Sein Name ist TR/Dldr.Agent.aqs


    Das Rätselhafte darin ist, dass ihn mein Avira AntiVir nicht findet, wenn ich den PC scanne. Aber wenn ich das Internetkabel in den Anschluss stecke, und noch gar keine Verbindung wähle, meldet AntiVir nach einiger Zeit, dass dieser Trojaner auf meinen PC zugreifen möchte. Wie geht das, wenn ich noch gar nicht im Internet eingewählt bin?

  • Bist du vielleich in einem Netzwerk? Also das du über einen Router ins Netz gehst und andere PC's ebenfalls über den selben Router ins Netz gehen?

  • Ichhabe gehört, daß diverse Trojaner eine Art Hardwareerkennung besitzen. Ein Trojaner soll ja Daten ausspionieren usw. und dann an den "Absender" zurückschicken wenn ich mich nicht irre.


    Steckst du also das Netzwerkkabel rein, erkennt Windows ja eine neue Hardware / einen neuen Anschluss und den erkennt auch der Trojaner. Somit will der nun schon loslegen. :)

    Nur der Pirat ist der wahre Händler, denn nur er hat alle Möglichkeiten (business is war !!! ;) :P

  • Zum eigentlich Sachverhalt kann ich dir leider nicht helfen. Aber ich hatte vor nicht alzu langer Zeit ein ähnliches Problem. Ich hatte ein Trojaner auf dem Rechner, den Anti-vir partout nicht erkennen oder nicht entfernen wollte.
    In einem Trojaner-Hilfsforum nachgefragt hat man mir den Online-Viren-Scanner Bitdenfender empfohlen.


    http://www.bitdefender.de/


    Links unter dem Menü steht "Scan-Online"


    Falls das nicht hilft kannst du ja auch mal versuchen im dem Trojaner-Forum Hilfe zu bekommen.


    http://www.trojaner-board.de/


    Viel Glück

  • Zitat

    Original von Mandela
    Steckst du also das Netzwerkkabel rein, erkennt Windows ja eine neue Hardware / einen neuen Anschluss und den erkennt auch der Trojaner. Somit will der nun schon loslegen. :)


    Hi Mandela,


    bist Du da sicher ?(


    Also das wäre mir neu, das für Windows ein Netzwerkkabel eine Art Hardware wäre :eek2:
    Ein Treiber für ein Kabel ist nämlich nicht notwendig ;)

  • Es ist sogar noch ein wenig seltsamer als vorhin geschildert. Heute war meine Putzfrau da, und bevor ich einkaufen gegangen bin, habe ich ihr noch Musik gemacht - am PC, mit einer eingelegten CD.


    Ich war einigermaßen erstaunt als ich nach ca. einer Stunde zurückkam, und AntiVir wieder diesen Trojaner gefunden hat. Ich war nämlich seit dem Einschalten des PCs weder online, noch war das I-Net Kabel angesteckt. Trotzdem wurde ich gefragtl, ob ich den Zutritt dieses Trojaners verweigern wollte.
    Also irgendwo hockt der Schlingel, lässt sich aber mit dem normalen Scan nicht finden. ?(


    Bisherige Auswirkung: keine sichtbare. Aber bei Trojanern weiß man ja nie. (zumindest ich PC-Nulpe nicht)

  • Hi Gesil,


    hast Du eine Firewall ?(
    Damit könntest Du rausfinden welches Programm versucht eine Internetverbindung aufzubauen 8)


    Das Virenprogramm gibt keine weitere Auskunft ?(


    Ich hoffe Du hast sensible Daten wie TAN, Passwörter etc. nicht auf Deinen PC gespeichert ;)

  • @ Seebär


    Ganz sicher, eben aufgrund deines Posts noch mal ausprobiert zur Sicherheit:


    Kiste ist an, Windows hochgefahren und Netzwerkkabel vom DSL Modem nicht am PC angeschlossen, Modem ist natürlich an wie immer.
    Netzwerkkabel angeschlossen und prompt kam die Windowsmeldung "Neue Hardware erkannt ...". Die selbe Meldung bekam ich auch immer beim Drucker und auch früher beim Scanner (bevor letzterer kaputt ging dank meiner Kinder).


    @ Gesil


    Wenn keine externen Tools helfen und Antivir (benutze ich u.a. auch) nichts meldet oder findet am Ende: Platte booten! Manche von den Teilen sind hartnäckig ohne Ende.


    BTW...
    Jetzt erklärt sich auch, warum mein "Fort Knox", kurz nach dem ich damals dein Save wegen der Straßensache erhalten hatte, Alarm auslöste. Vermutlich wollte sich dein "Freund" auch bei mir einnisten. Der wurde dann isoliert und getötet auf meinem Rechner laut Historie. Allerdings werde gerade ich warum auch immer ständig attackiert mit den oninösesten Viren, Würmern und Trojanern. Laut Verzeichnis alleine gestern 865 Angriffe und ich habe, wie immer nur Emails verschickt/ erhalten, war hier im Forum und in einem Figurenforum und suchte diverse Dinge in Google (Sachen über amerikanischer Unabhängigkeitskrieg). :rolleyes:

    Nur der Pirat ist der wahre Händler, denn nur er hat alle Möglichkeiten (business is war !!! ;) :P

  • Mandela


    da musst Du auch eine PC-Sonderedition haben. :D
    Oder hast Du vielleicht ein Wireless-Lan mit USB Schnittstelle. ;)


    Das erklärt dann auch die Meldung beim Scanner/Drucker. Dort wird nicht das Kabel sondern der Drucker erkannt.


    Bei einer "normalen" Netzwerkkarte kommt definitiv keine Hardwareerkennung.
    Ich habe es gerade mal bei mir ausprobiert.
    Ich bekomme dann nur die Meldung, dass kein Netzwerkkabel angeschlossen ist.


    Das kann man dann auch als Symbol in der Taskleiste erkennen.
    Sobald ich das Netzwerkkabel wieder reinstecke geht das Fehlersymbol wieder weg.

  • @ Mandela:
    der Trojaner ist seit maximal Wochenanfang bei mir, also war er damals sicher nicht in der Straßenbau-Sache dabei.


    Edit:
    Ich habe mir soeben den Spyware Doctor runter geladen und sage und schreibe 25 unerwünschte Programme gefunden. Interessanter Weise auch bei Programmen, die sicher vorher Trojaner-frei waren. Muss sich also später dorthin verirrt haben.


    Mein Problem ist nur, dass dieses Spyware-Progi satte 29 Dollar haben möchte, damit es diese Trojaner von meinem PC entfernt.


    Kennt jemand eine zuverlässige Freeware, mit der das ebenfalls klappen müsste?


    Edit 2:
    Alle unerwünschten Programme sind in den Cookies und im Cache. Beides habe ich gelöscht, die Cookies wieder manuell vergeben. Hat nichts genützt. Bin ich nur zu blöd, oder muss man noch mehr dabei beachten?

  • @ Gesil


    Na dann war er es nicht sondern irgendwas anderes. Spy Doc ist auch gut für sowas :170:


    @ Seebär


    Hat der dann das Modem erkannt ? ?(

    Nur der Pirat ist der wahre Händler, denn nur er hat alle Möglichkeiten (business is war !!! ;) :P

  • Gesil


    Zum Edit 1:
    Ein sehr zuverlässiger und dazu noch vollkommen kostenloser Spyware-Scanner ist Spybot Search & Destroy (Link führt direkt zur Downloadseite).
    Die Erkennungs- und Entfernungsrate schlägt sogar die allermeisten kommerziellen Spyware-Scanner.


    Zum Edit 2:
    Wenn du sicher bist, dass sich Schädlinge im Browser-Cache und unter den Cookies verbergen, so empfiehlt sich das Löschen des Inhalts dieser beiden Ordner:
    C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temporary Internet Files und C:\Dokumente und Einstellungen\Benutzername\Cookies.


    Wenn das alles nichts hilft, würde ich ernsthaft eine Neuinstallation des Betriebssystems in Erwägung ziehen. Alle wichtigen Dateien auf eine DVD brennen und ab geht die Post - auch für alle lästigen Plagegeister. ;)

  • @ Amselfass:
    Danke für den Lnk, hab mir das Ding geladen und gleich ausprobiert. Es hat 7 unerwünschte Programme gefunden und gekillt.
    Dennoch hat der Scan mit dem Spyware-Doctor danach noch immer 2 Trojaner in insg. 4 Dateien gefunden. Einen davon in den temp. Internetdateien, die ich aber mit dem Arbeitsplatzmanager nicht finden kann. Ich hab den Pfad:
    Dokumente & Einstellungen / User / Lokale Einstellungen
    ganz einfach nicht. Den Ordner "Cookies" finde ich aber schon. ?( Jedenfalls hockt das Ding genau dort, wo ich nicht reinkann. Das Löschen der temp. I-Files über den Explorer bringt - erwartungsgemäß - nullkommajosef.

  • @ Gesil


    Den Ordner Lokale Einstellung findest du erst, wenn du dem Arbeitsplatzmanager sagst er soll dir auch die versteckten Dateien und Ordner anzeigen.

  • Gesil , Tristan


    Komisch, so ganz kann das, was Tristan sagt, nicht stimmen. Der Ordner "Cookies" ist in der Standardeinstellung ebenfalls versteckt.
    Sollte Gesil die Anzeige der versteckten Dateien ausgeschaltet haben, dürfte er eigentlich auch "Cookies" nicht sehen.


    Ersteinmal würde ich tun, was Tristan sagt: im Windows-Explorer das Menü "Extras" aufrufen und dann "Ordneroptionen". Auf der Registerkarte "Ansicht" in der nun erscheinenden Liste stelle bitte das Folgende sicher:
    1. Vor "Geschützte Systemdateien ausblenden (empfohlen) darf kein Häkchen stehen.
    2. Bei der Option "Versteckte Dateien und Ordner" muss "Alle Dateien und Ordner anzeigen" ausgewählt sein.


    Nun sollte "Lokale Einstellungen" im Explorer erscheinen.


    Falls er das nicht tut, wirf mal die Windows-Suche an (das Ding mit dem bescheuerten Hund) und suche unter "Dateien und Ordner" nach der Zeichenkette "Temporary Internet Files". Bevor du die Suche startest, aktiviere unter "Weitere Optionen" die beiden Punkte "Systemordner durchsuchen" und "Versteckte Elemente durchsuchen".


    Irgendetwas hiervon sollte den Ordner eigentlich ans Tageslicht bringen...

  • Danke, ich habe das noch gestern Abend geschafft. Um auf Nummer Sicher zu gehen, wurden alle Dateien aus den Unterordnern "Temp" und "Temporary Internet Files" gekillt, ausgenommen 4 schreibgeschützte IE-Dateien (wer weiß, vielleicht wäre das ja verkehrt).


    Es sind noch 2 Trojaner da; einer davon sitzt in der PlugY.exe; das ist eine Modifikation zu Diablo-II, welche von Tausenden Spielern verwendet wird. Ich halte es für nahezu ausgeschlossen, dass dieses Progi verseucht ist; aber vielleicht hat sich der Trojaner ja genau dort eingenistet.


    Der zweite sitzt in 3 Dateien, von denen 2 Sicherkeitskopien des Systems zu sein scheinen, welches der von Amselfass gepostete Scanner vorher angelegt hatte. Diese beiden Dateien werde ich versuchen, heute Abend zu killen. Bleibt noch die letzte übrig, die da lautet:
    C:\RECYCLERS\-1-5-21-...........................vvm
    Was könnte das sein bzw. ist das eine schlechte Idee, es zu löschen?

  • Hmm, das mit der PlugY.exe könnte durchaus ein Fehlalarm sein. Spyware-Scanner neigen zu Übereifrigkeit, einige wollen sogar den Windows Media Player vom System löschen.


    Die Sicherheitskopien sind nicht weiter gefährlich, denn der Scanner hält die sicherhaltshalber vor der Löschung noch einmal archivierten Dateien gut unter Verschluss. Wenn du sicher bist, dass dein System die "Wurmkur" gut überstanden hat, kannst du die Sicherungskopien löschen. Sie dienen nur der Wiederherstellung, falls etwas bei der Säuberung schief läuft.


    Der Ordner "C:\RECYCLER" stellt den Papierkorb dar. ;) Der Trojaner sollte verschwinden, wenn du einfach mal den Papierkorb leerst...

  • Zitat

    Original von Amselfass
    Der Ordner "C:\RECYCLER" stellt den Papierkorb dar. ;) Der Trojaner sollte verschwinden, wenn du einfach mal den Papierkorb leerst...


    :O Peinlich, peinlich. Da sind ja die gelöschten temporären Files drinnen..... :O
    Normal lösche ich den Papierkorb sehr oft, aber gestern hab ich wohl vergessen (wurde während der Aktion angerufen).