TrojanDownloader.Win32,Agent.j - nicht zu entfernen???

  • Hi auch


    Hab mal nach längerer Zeit das Antivir PE meiner Freundin gegen Kaspersky Antivir 5.0 ausgetauscht, und siehe da - schon beim Virendefinitions-Update springt ein Warnfenster nach dem anderen auf, und zwar das erste:


    "Der Zugriff auf Objekt "C:\SYS.REG" wurde gesperrt. Objekt ist das trojanische Programm "Trojan.WinREG.StartPage"


    Sie hatte mal einen Hijacker den ich nicht weg bekam, also das Freeware-Tool " Startpage Save" installiert, das eben die Startseite im IE immer wieder überprüft und ggf. zurücksetzt. Ist das Proggie infiziert gewesen oder vielleicht selbst eine Malware? Kaspersky hat das gefundene Objekt gelöscht und Startpage Save ist noch immer aktiv, auch nach einem Neustart.


    Die weiteren Warnungen sind wohl graviernender weil ich den Verursacher nicht löschen kann:


    Zitat

    Prozessmodul "WINLOGON.EXE\com.dll" ist infiziert mit dem Virus "TrojanDownloader.Win32,Agent.j


    Das Selbe mit "LSASS.EXE\com.dll" "SVCHOST.EXE\com.dll" "SPOOLSV.EXE\com.dll" und "EXPLORER.EXE\com.dll"
    Beim Versuch den Trojaner von Kaspersky löschen zu lassen (Reperatur hat nicht funktioniert) geht der Rechner sofort aus und startet neu.


    Was soll ich nun machen? Stinger findet den Trojaner zwar auch, kann die Dateien aber ebenfalls nicht reparieren. Das Anti-Trojaner-Proggie "a²free" was sonst sehr zuverlässig ist hat übrigens erst garnichts gefunden. Und natürlich waren alle drei Scanner mit den neusten Updates versorgt gewesen. Nach einer Theorie in einem anderen Forum könnte es Sober sein, aber das Removal Tool hat keinen Alarm geschlagen. Achso, laut CoolBeans Sysinfo ist der Netzwerktraffic (wenn ich nicht surfe) gleich Null, also keine Hintergrundaktivitäten erkennbar.
    Eine Neuinstallation kommt erstmal nicht in Frage da die Festplatte nicht partitioniert ist und ohne Brenner auch eine Sicherung der Daten recht schwierig sein dürfte, also muss der Virus irgendwie da runter, egal wie.


    Nun hoffe ich mal auf eure Antworten und Hilfe wie ich das Mistding loswerden kann.



    Grüsse - EselMetaller

  • Hi,
    versuch mal den abgesicherten Modus, und dann einen Scan.
    Wenn man beim Starten die <F8> Taste drückt und den richtigen Moment dafür erwischt, kommt ein Auswahlmenue...


    Die Pfadangabe des Virenscanners ist auch "lustig", was meint er wirklich, die Dateien:


    LSASS.EXE
    SVCHOST.EXE
    SPOOLSV.EXE
    EXPLORER.EXE
    WINLOGON.EXE


    oder die von allen gemeinsam benutzte com.dll oder ganz was anderes? Die Namen klingen alle nach "echten" Windows Programmen, aber vielleicht stehen sie im falschen Pfad? Dann können die Fakes ohne Gnade gelöscht werden. Richtig ist:


    LSASS.EXE - c:\windows\system32
    SVCHOST.EXE - c:\windows\system32
    SPOOLSV.EXE - c:\windows\system32
    EXPLORER.EXE - c:\windows
    WINLOGON.EXE - c:\windows\system32


    (kann auch d:, e:, oder was auch immer Deine Windows Partition ist, sein)


    Das kannst Du nie wieder gut machen, daß ich mein Gelübde gebrochen habe und es doch noch einmal gewagt habe, ein Windows zu starten ;-)


    'ne "comm.dll" kann ich nicht finden, aber das was ich hier habe, ist wie gesagt so gut wie unbenutzt. Schaden kann es vielleicht nicht, diese mal zu suchen, zu löschen ... vielleicht hilft ja umbenennen.


    Wenn Dir 'regedit' etwas sagt, kannst Du auch damit Dein Glück versuchen, wenn nicht, laß es lieber.


    Eventuell kann man ja die Selbstheilungskräfte von XP(?) benutzen.


    Und wenn gar nichts mehr geht, von der XP(?) CD starten und reparieren/neu installieren (ohne formatieren!!!), dann sollten auch die Daten erhalten bleiben.


    Und wenn man das "neue" Windows in ein neues Verzeichnis installiert (ich weiß nicht in wechen der aktuellen Versionen das geht) dann hättest Du eine saubere Installation, die von den alten Viren nicht betroffen ist und die Daten sind auch noch alle da.


    Und mit sehr viel Glück kann man damit die alte Installation sogar entwanzen.



    Hope this helps
    Thomas

    Tom - ex Mitglied im Team der PC-Special
    Computer-Hilfe-Forum, Tipps und Tricks, Scripte, Downloads und mehr

  • Boah, was eine ausführliche Hilfe - vielen Merci !!! :)


    Und dann auch noch von einem Linuxer? *gg* Tut mir leid dass ich Dich verführt habe wieder mal einen Windoof-Rechner anzufassen.


    Keine Ahnung wieso, aber der Virus is wech, hab rausgefunden dieser "Agent j" ist ein sehr anhänglicher Highjacker, kein Trojaner. Und scheinbar hat Kaspersky bei jedem Versuch einer der infizierten Dateien zu löschen dieses auch wirklich getan - trotz Systemabsturz. Weil Nach langem Googeln bin ich bei einem Removal Tool (ebenfalls von Kaspersky) gelandet das nach 2-stündigem Scan nichts gefunden hatte.
    Also nochmal mit der neusten Virendefinition den Kaspersky AV mit einem Komplettscan drüberlaufen lassen und siehe da: nichts, sauber :shock:


    Aber für alle anderen mit dem gleichen Problem:
    "Google - Agent j - Kaspersky Removal Tool" sollte schneller und ohne Systemabstürze gehen ;)


    Danke nochmal für die Hilfe und beste Grüsse - EselMetaller

  • Hi,
    mit Linux hat es 1994 angefangen, inzwischen ist da noch Solaris und IRIX dazugekommen, wobei ich letzteres am meisten mag, aber 'nen Notebook habe ich von SGI noch nicht gesehen ;-)


    cu
    Tom

    Tom - ex Mitglied im Team der PC-Special
    Computer-Hilfe-Forum, Tipps und Tricks, Scripte, Downloads und mehr