Trojanische Pferd TR/RKit.Agent.AE.1

Dieses Thema Trojanische Pferd TR/RKit.Agent.AE.1 im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Maja(ndra), 15. Sep. 2005.

Thema: Trojanische Pferd TR/RKit.Agent.AE.1 hallo! bin total verzweifelt weil ich ein trojanisches pferd draufhabe udn es einfach cnith wegbekomme...mein...

  1. hallo! bin total verzweifelt weil ich ein trojanisches pferd draufhabe udn es einfach cnith wegbekomme...mein antivirus guard schickt mri alle zwei sekunden die meldung..

    C:\WINDOWS\SYSTEM32\ORANS.SYS

    Ist das Trojanische Pferd TR/RKit.Agent.AE.1

    ich kann es nicht löschen....auch nciht im abgesichterten modus und wenn die systemwiederherstellung deaktiviert ist....wobei im abgesicherten modus antivir so tut als ob es geklöscht ist... ???

    kann bitte einer ahnungslosen erklären was zu tun ist?? ;)

    danke!! maja
     
  2. Hallo@Maja(ndra)

    Beispiel von einem anderen PC:

    Verzeichnis von C:\WINDOWS\system32
    30.08.2005 20:45 7.168 orans.sys
    30.08.2005 20:44 13.704 wpa.dbl
    30.08.2005 19:39 7.168 rdriv.sys
    30.08.2005 13:11 340 ii
    30.08.2005 11:28 0 eraseme_30243.exe
    30.08.2005 11:28 72 i
    29.08.2005 16:05 106.496 mstsa.exe
    29.08.2005 15:56 7.168 lpdriver.sys
    -------------------------------------------------------------------------------------
    also:
    ich brauche:

    alle 4 Logs mit der pfadangabe oben
    http://nikita.eddys-domain.de/datfindbat.html

    das komplette Log vom HijckTHis ;)
    http://nikita.eddys-domain.de/hjtkurz.html
     
  3. Gehe auch in die Registry

    Start-->Ausfuehren--> regedit

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\
    Services\orans <--loeschen
    C:\WINDOWS\system32orans.sys

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
    @=IMsRdpClientSecuredSettings <---loeschen

    PC neustarten
     
  4. danke für deine hilfe.... :)

    ich hab sjetzt i der registry gelöscht...und antivir hat sich bis jetzt ncith mehr gemeldet :D

    nur was meinst du hiermit @=IMsRdpClientSecuredSettings ? ich hab jetzt nur {605BEFCF-39C1-45CC-A811-068FB7BE346D}] gelöscht....
     
  5. Hiho! :D
    Habe ORANS in der Registry und anschliessend den Eintrag {605BEFCF-39C1-45CC-A811-068FB7BE346D} gelöscht.
    Was Du mit IMsRdpClientSecuredSettings meinst würde mich auch mal interessieren. ;)
    Beim erneuten Viruscheck fand er die infizierte Orans-Datei leider wieder. :-\
    Noch einen Tip? ::)
     
  6. Maja(ndra)

    was ich dir geschrieben habe, solltest du alles ausfuehren, denn es war nur der Beginn der Reinigung, da kommt noch viel mehr.
    Also schau mal oben und poste mir alles, worum ich gebeten hatte.
     
  7. der PC, von dem die oben angefuehrten Dateien stammen, hatte noch andere Malware auf dem PC, daher stammt die wahrscheinlich infizierte:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
    @=IMsRdpClientSecuredSettings

    dieser Wert tauchte im Zusammenhang mit einem Dienst auf, der von einem Trojaner (?) erstellt wurde, (gleiche Daten, wie oben als Beispiel angefuehrt)
    der Client war also nicht mehr clean.

    nun habe ich mir noch mal alles durchgesehen und denke, dass der hier angefuehrte Trojaner nichts mit diesem Clienten zu tun hat, sondern mit den anderen sys-Dateien (siehe oben).
    Ich habe das durcheinandergewuerfelt. :-\

    es liegt also in diesem Fall hier kein Grund vor, den Schluessel zu loeschen.
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
    @=IMsRdpClientSecuredSettings

    der Trojaner, um den es geht, erstellt folgende Werte in der Registry:
    http://uk.trendmicro-europe.com/con...VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC
     
  8. also für alle die den Schlüssel {605BEFCF-39C1-45CC-A811-068FB7BE346D} gelöscht haben und keine Sicherung davor gemacht haben ::)

    Wiederherstellen: 605BEFCF-39C1-45CC-A811-068FB7BE346D.reg (gezippt, Windows XP)

    pan_fee
     
Die Seite wird geladen...

Trojanische Pferd TR/RKit.Agent.AE.1 - Ähnliche Themen

Forum Datum
Trojanisches Pferd? Windows XP Forum 5. Jan. 2006
Trojanisches Pferd Windows XP Forum 6. Sep. 2005
Immer wieder Trojanische Pferd TR/Spy.Agent.dg.2.B Viren, Trojaner, Spyware etc. 29. Juli 2005
Trojanische Pferd TR/Spy.Agent.dg.2.B Viren, Trojaner, Spyware etc. 28. Juli 2005
Trojanisches Pferd. TR/Spy.Bacos.aht.2 Viren, Trojaner, Spyware etc. 6. Juli 2005