Trojanische Pferd TR/RKit.Agent.AE.1

  • #1
M

Maja(ndra)

Guest
hallo! bin total verzweifelt weil ich ein trojanisches pferd draufhabe udn es einfach cnith wegbekomme...mein antivirus guard schickt mri alle zwei sekunden die meldung..

C:\WINDOWS\SYSTEM32\ORANS.SYS

Ist das Trojanische Pferd TR/RKit.Agent.AE.1

ich kann es nicht löschen....auch nciht im abgesichterten modus und wenn die systemwiederherstellung deaktiviert ist....wobei im abgesicherten modus antivir so tut als ob es geklöscht ist... ???

kann bitte einer ahnungslosen erklären was zu tun ist?? ;)

danke!! maja
 
  • #2
Hallo@Maja(ndra)

Beispiel von einem anderen PC:

Verzeichnis von C:\WINDOWS\system32
30.08.2005 20:45 7.168 orans.sys
30.08.2005 20:44 13.704 wpa.dbl
30.08.2005 19:39 7.168 rdriv.sys
30.08.2005 13:11 340 ii
30.08.2005 11:28 0 eraseme_30243.exe
30.08.2005 11:28 72 i
29.08.2005 16:05 106.496 mstsa.exe
29.08.2005 15:56 7.168 lpdriver.sys
-------------------------------------------------------------------------------------
also:
ich brauche:

alle 4 Logs mit der pfadangabe oben


das komplette Log vom HijckTHis ;)
 
  • #3
Gehe auch in die Registry

Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\orans <--loeschen
C:\WINDOWS\system32orans.sys

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
@=IMsRdpClientSecuredSettings <---loeschen

PC neustarten
 
  • #4
danke für deine hilfe.... :)

ich hab sjetzt i der registry gelöscht...und antivir hat sich bis jetzt ncith mehr gemeldet :D

nur was meinst du hiermit @=IMsRdpClientSecuredSettings ? ich hab jetzt nur {605BEFCF-39C1-45CC-A811-068FB7BE346D}] gelöscht....
 
  • #5
Hiho! :D
Habe ORANS in der Registry und anschliessend den Eintrag {605BEFCF-39C1-45CC-A811-068FB7BE346D} gelöscht.
Was Du mit IMsRdpClientSecuredSettings meinst würde mich auch mal interessieren. ;)
Beim erneuten Viruscheck fand er die infizierte Orans-Datei leider wieder. :-\
Noch einen Tip? ::)
 
  • #6
Maja(ndra)

was ich dir geschrieben habe, solltest du alles ausfuehren, denn es war nur der Beginn der Reinigung, da kommt noch viel mehr.
Also schau mal oben und poste mir alles, worum ich gebeten hatte.
 
  • #8
der PC, von dem die oben angefuehrten Dateien stammen, hatte noch andere Malware auf dem PC, daher stammt die wahrscheinlich infizierte:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
@=IMsRdpClientSecuredSettings

dieser Wert tauchte im Zusammenhang mit einem Dienst auf, der von einem Trojaner (?) erstellt wurde, (gleiche Daten, wie oben als Beispiel angefuehrt)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSECURE]
Zum Vergrößern anklicken....
der Client war also nicht mehr clean.

nun habe ich mir noch mal alles durchgesehen und denke, dass der hier angefuehrte Trojaner nichts mit diesem Clienten zu tun hat, sondern mit den anderen sys-Dateien (siehe oben).
Ich habe das durcheinandergewuerfelt. :-\

es liegt also in diesem Fall hier kein Grund vor, den Schluessel zu loeschen.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{605BEFCF-39C1-45CC-A811-068FB7BE346D}]
@=IMsRdpClientSecuredSettings

der Trojaner, um den es geht, erstellt folgende Werte in der Registry:
 
  • #9
Maja(ndra) schrieb:
ich hab jetzt nur {605BEFCF-39C1-45CC-A811-068FB7BE346D}] gelöscht....
Zum Vergrößern anklicken....

Franky6116 schrieb:
und anschliessend den Eintrag {605BEFCF-39C1-45CC-A811-068FB7BE346D} gelöscht.
Zum Vergrößern anklicken....
also für alle die den Schlüssel {605BEFCF-39C1-45CC-A811-068FB7BE346D} gelöscht haben und keine Sicherung davor gemacht haben ::)

Wiederherstellen: (gezippt, Windows XP)

pan_fee
 
Thema:

Trojanische Pferd TR/RKit.Agent.AE.1

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben