6
Spy-Agent.ba
Hallo,
habe durch einen online scan wohl einen Trojaner entdeckt.
nennt sich "Spy-Agent.de" !
war am 30.03.07 in "C:WINDOWSsystem32ipv6monl.dll" und
heute 04.04.07 in "C:System Volume Information...A0092764.dll"
Für mich als Laie sehr irritierend da weder
AntiVir Guard noch SPYWAREfighter noch Spy Sweeper diesen gemeldet haben.
Gibt es eine "einfache Lösung" diesen Trojaner wieder los zu werden?
Die Hausbank meinte am sichersten ist es den Rechner platt zu machen.
OnlineBanking, VISAKARTE usw. habe ich sperren lassen.
Wenn ich den Rechner platt mache - was muss ich beachten?
Bin für jeden Tipp sehr dankbar!!!
Schöne Grüße
habe durch einen online scan wohl einen Trojaner entdeckt.
nennt sich "Spy-Agent.de" !
war am 30.03.07 in "C:WINDOWSsystem32ipv6monl.dll" und
heute 04.04.07 in "C:System Volume Information...A0092764.dll"
Für mich als Laie sehr irritierend da weder
AntiVir Guard noch SPYWAREfighter noch Spy Sweeper diesen gemeldet haben.
Gibt es eine "einfache Lösung" diesen Trojaner wieder los zu werden?
Die Hausbank meinte am sichersten ist es den Rechner platt zu machen.
OnlineBanking, VISAKARTE usw. habe ich sperren lassen.
Wenn ich den Rechner platt mache - was muss ich beachten?
Bin für jeden Tipp sehr dankbar!!!
Schöne Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 55861
Url: https://administrator.de/contentid/55861
Printed on: April 16, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hi,
das sicherste ist immer, den Rechner neu zu installieren.
Also zuerst mal wichtige Daten sichern (am besten ein Image von der bisherigen Installation machen), von der Windows CD booten, C: formatieren, Windows neu installieren.
Dann als erstes Virenscanner installieren und am besten die Windows Firewall temporär aktivieren.
Danach Rechner ans Netz/Internet anschliessen und als erstes Widnows Update & Virenscanner Update drüberlaufen lassen. Daten rücksichern und Programme installieren.
Das sollte so der grobe Ablauf sein.
Gruß
cykes
P.S. Dieser Trojaner wurde in letzter Zeit wohl mit den Mails mit gefälschten Amazon/1&1 etc. Rechnungen verteilt.
das sicherste ist immer, den Rechner neu zu installieren.
Also zuerst mal wichtige Daten sichern (am besten ein Image von der bisherigen Installation machen), von der Windows CD booten, C: formatieren, Windows neu installieren.
Dann als erstes Virenscanner installieren und am besten die Windows Firewall temporär aktivieren.
Danach Rechner ans Netz/Internet anschliessen und als erstes Widnows Update & Virenscanner Update drüberlaufen lassen. Daten rücksichern und Programme installieren.
Das sollte so der grobe Ablauf sein.
Gruß
cykes
P.S. Dieser Trojaner wurde in letzter Zeit wohl mit den Mails mit gefälschten Amazon/1&1 etc. Rechnungen verteilt.
Oder du baust eine BartPE CD und startest von dieser. Dann wird der Virus/Trojaner oder was auch immer nicht aktiv wenn du eine Datensicherung durchführst. Danach neuinstallieren.
Der Spy-Agent.ba ist auch bekannt unter dem Namen Cimuz/BK.
Seine Aufgabe ist es Account-Informationen [Email, Bank etc.] herauszusenden.
Bei der Installation erstellt der Schaedling die Datei ipv6monl.dll, welche als Browser helper Object und COM-Datei registriert wird.
Folgende Registrierdatenbankeintraege werden hierbei erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser helper objects\{21384D29-1240-2d4f-A15C-17E42823D523}
sowie
HKCR\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
Dann wird die Windows Firewall Policy fuer den InternetExplorer ausgehebelt und zwar mit folgender Registrymodifikation:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List
<Programme>\Internet Explorer\IEXPLORE.EXE
<Programme>\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer
und das Browser Helper Object (BHO) zugelassen mit:
HKCU\Software\Microsoft\Internet Explorer\MainEnable Browser Extensions
yes
Du wirst den Trojaner wie folgt los:
1. Sicherheitsbackup der Registry anfertigen
2. Systemwiederherstellung abschalten
3. In den abgesicherten Modus gehen
4. Oben genannte Registrierdatenbankeintraege suchen und loeschen
5. Die Datei ipv6monl.dll loeschen
6. Temporary Internet Files loeschen
7. Reboot
saludos
gnarff
Seine Aufgabe ist es Account-Informationen [Email, Bank etc.] herauszusenden.
Bei der Installation erstellt der Schaedling die Datei ipv6monl.dll, welche als Browser helper Object und COM-Datei registriert wird.
Folgende Registrierdatenbankeintraege werden hierbei erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser helper objects\{21384D29-1240-2d4f-A15C-17E42823D523}
sowie
HKCR\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
Dann wird die Windows Firewall Policy fuer den InternetExplorer ausgehebelt und zwar mit folgender Registrymodifikation:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List
<Programme>\Internet Explorer\IEXPLORE.EXE
<Programme>\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer
und das Browser Helper Object (BHO) zugelassen mit:
HKCU\Software\Microsoft\Internet Explorer\MainEnable Browser Extensions
yes
Du wirst den Trojaner wie folgt los:
1. Sicherheitsbackup der Registry anfertigen
2. Systemwiederherstellung abschalten
3. In den abgesicherten Modus gehen
4. Oben genannte Registrierdatenbankeintraege suchen und loeschen
5. Die Datei ipv6monl.dll loeschen
6. Temporary Internet Files loeschen
7. Reboot
saludos
gnarff
Der Spy-Agent.ba ist auch bekannt unter dem
Namen Cimuz/BK.
Seine Aufgabe ist es Account-Informationen
[Email, Bank etc.] herauszusenden.
Bei der Installation erstellt der Schaedling
die Datei ipv6monl.dll, welche als Browser
helper Object und COM-Datei registriert
wird.
Folgende Registrierdatenbankeintraege werden
hierbei erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser
helper
objects\{21384D29-1240-2d4f-A15C-17E42823D523}
sowie
HKCR\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
Dann wird die Windows Firewall Policy fuer
den InternetExplorer ausgehebelt und zwar mit
folgender Registrymodifikation:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
<Programme>\Internet
Explorer\IEXPLORE.EXE
<Programme>\Internet
Explorer\IEXPLORE.EXE:*:Enabled:Internet
Explorer
und das Browser Helper Object (BHO)
zugelassen mit:
HKCU\Software\Microsoft\Internet
Explorer\MainEnable Browser Extensions
yes
Du wirst den Trojaner wie folgt los:
1. Sicherheitsbackup der Registry
anfertigen
2. Systemwiederherstellung abschalten
3. In den abgesicherten Modus gehen
4. Oben genannte
Registrierdatenbankeintraege suchen und
loeschen
5. Die Datei ipv6monl.dll loeschen
6. Temporary Internet Files loeschen
7. Reboot
Wobei man mit einer Neuinstallation wahrscheinlich schneller ist :=)Namen Cimuz/BK.
Seine Aufgabe ist es Account-Informationen
[Email, Bank etc.] herauszusenden.
Bei der Installation erstellt der Schaedling
die Datei ipv6monl.dll, welche als Browser
helper Object und COM-Datei registriert
wird.
Folgende Registrierdatenbankeintraege werden
hierbei erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser
helper
objects\{21384D29-1240-2d4f-A15C-17E42823D523}
sowie
HKCR\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}
Dann wird die Windows Firewall Policy fuer
den InternetExplorer ausgehebelt und zwar mit
folgender Registrymodifikation:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
<Programme>\Internet
Explorer\IEXPLORE.EXE
<Programme>\Internet
Explorer\IEXPLORE.EXE:*:Enabled:Internet
Explorer
und das Browser Helper Object (BHO)
zugelassen mit:
HKCU\Software\Microsoft\Internet
Explorer\MainEnable Browser Extensions
yes
Du wirst den Trojaner wie folgt los:
1. Sicherheitsbackup der Registry
anfertigen
2. Systemwiederherstellung abschalten
3. In den abgesicherten Modus gehen
4. Oben genannte
Registrierdatenbankeintraege suchen und
loeschen
5. Die Datei ipv6monl.dll loeschen
6. Temporary Internet Files loeschen
7. Reboot
@kingofetc.
Wobei man mit einer Neuinstallation
wahrscheinlich schneller ist :=)
Neuinstallation des Betriebsystems = 90 Minuten
Konfiguration des Rechners = 60 - 120 Minuten
Total = 150 bis 270 Minuten Arbeitszeit
Dabei ist noch nicht einmal die Zeit enthalten, die man braucht, um eine Festplatte bei Schaedlingsbefall ordnungsgemaess auf NULL zu setzen, z.B. 80GB = 3h 50min
Demgegenueber stehen:
Spyware entfernen 20 Minuten!
saludos
gnarff
Wobei man mit einer Neuinstallation
wahrscheinlich schneller ist :=)
Konfiguration des Rechners = 60 - 120 Minuten
Total = 150 bis 270 Minuten Arbeitszeit
Dabei ist noch nicht einmal die Zeit enthalten, die man braucht, um eine Festplatte bei Schaedlingsbefall ordnungsgemaess auf NULL zu setzen, z.B. 80GB = 3h 50min
Demgegenueber stehen:
Spyware entfernen 20 Minuten!
saludos
gnarff
@kingofetc.
>
> Wobei man mit einer Neuinstallation
> wahrscheinlich schneller ist :=)
>
Neuinstallation des Betriebsystems = 90
Minuten
Konfiguration des Rechners = 60 - 120
Minuten
Total = 150 bis 270 Minuten Arbeitszeit
Dabei ist noch nicht einmal die Zeit
enthalten, die man braucht, um eine
Festplatte bei Schaedlingsbefall
ordnungsgemaess auf NULL zu setzen, z.B. 80GB
= 3h 50min
Demgegenueber stehen:
Spyware entfernen 20 Minuten!
saludos
gnarff
>
> Wobei man mit einer Neuinstallation
> wahrscheinlich schneller ist :=)
>
Neuinstallation des Betriebsystems = 90
Minuten
Konfiguration des Rechners = 60 - 120
Minuten
Total = 150 bis 270 Minuten Arbeitszeit
Dabei ist noch nicht einmal die Zeit
enthalten, die man braucht, um eine
Festplatte bei Schaedlingsbefall
ordnungsgemaess auf NULL zu setzen, z.B. 80GB
= 3h 50min
Demgegenueber stehen:
Spyware entfernen 20 Minuten!
saludos
gnarff
Mein Gott, reg dich nicht gleich so auf.