Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Spy-Agent.ba

Frage Sicherheit Viren und Trojaner

Mitglied: knallingerxx

knallingerxx (Level 1) - Jetzt verbinden

04.04.2007, aktualisiert 22:48 Uhr, 5314 Aufrufe, 6 Kommentare

Hallo,

habe durch einen online scan wohl einen Trojaner entdeckt.
nennt sich "Spy-Agent.de" !

war am 30.03.07 in "C:WINDOWSsystem32ipv6monl.dll" und
heute 04.04.07 in "C:System Volume Information...A0092764.dll"
Für mich als Laie sehr irritierend da weder
AntiVir Guard noch SPYWAREfighter noch Spy Sweeper diesen gemeldet haben.

Gibt es eine "einfache Lösung" diesen Trojaner wieder los zu werden?
Die Hausbank meinte am sichersten ist es den Rechner platt zu machen.
OnlineBanking, VISAKARTE usw. habe ich sperren lassen.

Wenn ich den Rechner platt mache - was muss ich beachten?
Bin für jeden Tipp sehr dankbar!!!

Schöne Grüße
Mitglied: cykes
04.04.2007 um 17:14 Uhr
Hi,

das sicherste ist immer, den Rechner neu zu installieren.
Also zuerst mal wichtige Daten sichern (am besten ein Image von der bisherigen Installation machen), von der Windows CD booten, C: formatieren, Windows neu installieren.
Dann als erstes Virenscanner installieren und am besten die Windows Firewall temporär aktivieren.
Danach Rechner ans Netz/Internet anschliessen und als erstes Widnows Update & Virenscanner Update drüberlaufen lassen. Daten rücksichern und Programme installieren.

Das sollte so der grobe Ablauf sein.

Gruß

cykes

P.S. Dieser Trojaner wurde in letzter Zeit wohl mit den Mails mit gefälschten Amazon/1&1 etc. Rechnungen verteilt.
Bitte warten ..
Mitglied: thekingofqueens
04.04.2007 um 17:19 Uhr
Oder du baust eine BartPE CD und startest von dieser. Dann wird der Virus/Trojaner oder was auch immer nicht aktiv wenn du eine Datensicherung durchführst. Danach neuinstallieren.
Bitte warten ..
Mitglied: gnarff
04.04.2007 um 20:54 Uhr
Der Spy-Agent.ba ist auch bekannt unter dem Namen Cimuz/BK.
Seine Aufgabe ist es Account-Informationen [Email, Bank etc.] herauszusenden.

Bei der Installation erstellt der Schaedling die Datei ipv6monl.dll, welche als Browser helper Object und COM-Datei registriert wird.

Folgende Registrierdatenbankeintraege werden hierbei erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser helper objects\{21384D29-1240-2d4f-A15C-17E42823D523}

sowie

HKCR\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}

Dann wird die Windows Firewall Policy fuer den InternetExplorer ausgehebelt und zwar mit folgender Registrymodifikation:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List
<Programme>\Internet Explorer\IEXPLORE.EXE
<Programme>\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer

und das Browser Helper Object (BHO) zugelassen mit:
HKCU\Software\Microsoft\Internet Explorer\MainEnable Browser Extensions
yes

Du wirst den Trojaner wie folgt los:
1. Sicherheitsbackup der Registry anfertigen
2. Systemwiederherstellung abschalten
3. In den abgesicherten Modus gehen
4. Oben genannte Registrierdatenbankeintraege suchen und loeschen
5. Die Datei ipv6monl.dll loeschen
6. Temporary Internet Files loeschen
7. Reboot

saludos
gnarff
Bitte warten ..
Mitglied: thekingofqueens
04.04.2007 um 21:04 Uhr
Der Spy-Agent.ba ist auch bekannt unter dem
Namen Cimuz/BK.
Seine Aufgabe ist es Account-Informationen
[Email, Bank etc.] herauszusenden.

Bei der Installation erstellt der Schaedling
die Datei ipv6monl.dll, welche als Browser
helper Object und COM-Datei registriert
wird.

Folgende Registrierdatenbankeintraege werden
hierbei erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser
helper
objects\{21384D29-1240-2d4f-A15C-17E42823D523}

sowie

HKCR\CLSID\{21384D29-1240-2d4f-A15C-17E42823D523}

Dann wird die Windows Firewall Policy fuer
den InternetExplorer ausgehebelt und zwar mit
folgender Registrymodifikation:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
<Programme>\Internet
Explorer\IEXPLORE.EXE
<Programme>\Internet
Explorer\IEXPLORE.EXE:*:Enabled:Internet
Explorer

und das Browser Helper Object (BHO)
zugelassen mit:
HKCU\Software\Microsoft\Internet
Explorer\MainEnable Browser Extensions
yes

Du wirst den Trojaner wie folgt los:
1. Sicherheitsbackup der Registry
anfertigen
2. Systemwiederherstellung abschalten
3. In den abgesicherten Modus gehen
4. Oben genannte
Registrierdatenbankeintraege suchen und
loeschen
5. Die Datei ipv6monl.dll loeschen
6. Temporary Internet Files loeschen
7. Reboot

Wobei man mit einer Neuinstallation wahrscheinlich schneller ist :=)
Bitte warten ..
Mitglied: gnarff
04.04.2007 um 21:23 Uhr
@kingofetc.
Wobei man mit einer Neuinstallation
wahrscheinlich schneller ist :=)
Neuinstallation des Betriebsystems = 90 Minuten
Konfiguration des Rechners = 60 - 120 Minuten
Total = 150 bis 270 Minuten Arbeitszeit
Dabei ist noch nicht einmal die Zeit enthalten, die man braucht, um eine Festplatte bei Schaedlingsbefall ordnungsgemaess auf NULL zu setzen, z.B. 80GB = 3h 50min

Demgegenueber stehen:

Spyware entfernen 20 Minuten!

saludos
gnarff
Bitte warten ..
Mitglied: thekingofqueens
04.04.2007 um 22:48 Uhr
@kingofetc.
>
> Wobei man mit einer Neuinstallation
> wahrscheinlich schneller ist :=)
>
Neuinstallation des Betriebsystems = 90
Minuten
Konfiguration des Rechners = 60 - 120
Minuten
Total = 150 bis 270 Minuten Arbeitszeit
Dabei ist noch nicht einmal die Zeit
enthalten, die man braucht, um eine
Festplatte bei Schaedlingsbefall
ordnungsgemaess auf NULL zu setzen, z.B. 80GB
= 3h 50min

Demgegenueber stehen:

Spyware entfernen 20 Minuten!

saludos
gnarff

Mein Gott, reg dich nicht gleich so auf.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Bei Windows 10 Spy funktion abschalten!?
Frage von utopia23Windows 1026 Kommentare

Ich habe jetzt schon viel gelesen, dass Win10 gerne nachhause telefoniert. Vor allem taucht immer wieder die Adresse "ssw.live.com" ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 6 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 10 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 10 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 14 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...