Win32.Agent.fbx

Hi Leute,

das ist mein erster Beitrag, also bitte ich bei Fehlern in meinem Verhalten um Nachsicht.

Hier ist mein Problem und ich bedanke mich schon mal im Vorraus, dass Ihr für mich Eure Zeit opfert:

Als ich am 31.8.09 den Sicherheitsdurchlauf von Spybot Search & Destroy gemacht habe kam die Warnung, dass ich einen Trojaner in der Systemdatei

C:\HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\Current\Version\Uninstall\uudbbih

habe. (Ich weiß nicht wie ich ihn mir eingefangen haben könnte)
Der Name ist Win32.Agent.fbx der Art TrojansC. Ich konnte immerhin Teile davon löschen, jedoch leider nicht den Hauptteil.

Im Anhang ist ein Screenshot vom Ergebnis des Suchlaufs.

Dauraufhin habe ich AntiVir Premium laufen lassen, welches allerdings keine Warnung dazu ausgab.
Dann bin ich auf Google gegangen und hab den Namen Win32.Agent.fbx eingegeben und hier auf

h**p://www.pcwelt.de/forum/sicherheit-viren-w-rmer-trojaner-rootkits/362017-win32-agent-fbx-entfernen.html

ein ähnliches problem bemerkt, dass sich scheinbar durch fixen gelöst haben soll.
Da ich nichts falsch machen will, habe ich es ersteinmal mit dem Kaspersky - Suite 2010 Suchlauf probiert, nachdem ich mein AntiVir Premium vorerst deinstalliert hatte.
Da dort ebenfalls kein Virus gefunden wurde, hab ich das Kaspersky - Suite 2010 wieder deinstalliert und mein AntiVir Premium erneut installiert. Ich hoffe ihr könnt mir helfen und Danke im Voraus...

 

Um etwas fixen zu können braucht man eine Logdatei mit Infos über aktive Treiber, Programme und Prozesse.
http://www.pcwelt.de/forum/2036382-post2.html
Der Link ist übrigens zu dem Thread in dem "Win32.Agent.fbx" entfernt wurde.

 

Das ist ja schön und gut, aber ich weiß leider nicht, wie das funktioniert...
Könntest du es mir bitte erklären?

Im Anhang sind erstmal die log-files, aber dort scheint nichts gefunden worden zu sein. Bedeutet das, dass die Datei nicht mehr als Bedrohung angesehen wird?

Danke für deine Hilfe...

 

In den Logs sehe ich nichts bedrohliches.
Wenn die Uninstallroutine von Spybot S&D unbrauchbar gemacht wurde, wird sich das entsprechende Programm nicht mehr deinstallieren lassen.
Wie ein Trojaner in eine Uninstallroutine im normalen Betrieb kommt, ist mir schleierhaft. Er muss dann schon immer da gewesen sein.
Dort kann er erst bei der Deinstallation des Wirtprogramms aktiv werden. In einer Setupdatei ist es wirkungsvoller. Ein Fehlalarm könnte vorliegen.
Lasse mal die Datei(en) in Spybot S&D wiederherstellen und lasse sie bei Jotti/Virustotal untersuchen und poste anschließend die Ergebnisse.
Wenn da etwas schädliches ist, müsste auch Antivir Alarm schlagen.

 

Die Datei kann nichtmehr wiederhergestellt werden...

Und wie soll ich diese Datei jetzt hochladen? Das ist doch eine Systemdatei?

Bei AntiVir ist jetzt noch eine weitere Warnung aufgetreten, zusätzlich zu den gewöhnlichen zwei sys-Fehlern, der mir Sorgen bereitet...

Im Anhang ist das AntiVir-Logfile.

Hoffentlich fällt dir etwas dazu ein...

Anhang gelöscht!
>X-MAN<

 

Logdateien als txt und nicht als doc.

 

Word-Dateien (*.doc) m&#246;gen hier viele nicht &#246;ffnen.
Bisschen Paranoia. Is aber so.

edit:
Verdammt. Der schnelle Deo............

 

Hab's mal heldenhaft konvertiert.

 

Die Warnungen sind harmlos, da die Dateien standardm&#228;&#223;ig im laufenden Betrieb gesperrt sind.

C:\hiberfil.sys = RAM Inhalt f&#252;r den Ruhezustand
[WARNUNG] Die Datei konnte nicht ge&#246;ffnet werden!
C:\pagefile.sys = Windows Auslagerungsdatei
[WARNUNG] Die Datei konnte nicht ge&#246;ffnet werden!
C:\Windows\System32\drivers\sptd.sys = Treiber von DAEMON Tools oder Alcohol 120&#37;
[WARNUNG] Die Datei konnte nicht ge&#246;ffnet werden!

@Hummer
Danke f&#252;r deinen Heldenmut.

 

Ich habe das Log-File nur in ein Word-Dokument gepackt, weil es anders nicht akzeptiert wurde...

Du hast mir doch empfohlen, die infizierte Datei bei Jotti/Virustotal hochzuladen, aber wie soll das funktionieren? Der Trojaner ist doch in einer System-Datei.

Hei&#223;t das also, dass der Trojaner auf Grund fehlender Funktionen keine Aktionen mehr ausf&#252;hren kann und damit keinen Schaden mehr anrichten kann?

 

Wenn keine schädliche Datei da ist, kann auch kein Trojaner da sein. Aber es wurde ein schädlicher Registryeintrag gefunden. So wie ich das verstanden habe, konnte der nicht von Spybot entfernt werden.
Nun kannst du versuchen, ihn manuell mit regedit zu entfernen. Spybot zeigt ja den Eintrag an.

 

Und wie soll ich das machen? In diesem Gebiet habe ich absolut keine Erfahrungen. Ich br&#228;uchte eine Funktion, die die Werte auf den Standard zur&#252;cksetzt...

Kannst du mir dort weiterhelfen?

 

Zuerst einen Systemwiederherstellungspunkt erstellen. Damit ist die Registry auch gesichert.
Dann regedit starten (Start-Ausführen) und zu dem Zweig navigieren HKEY_LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
und uudbbih löschen. Bevor du löschst gucken, ob da noch UninstallString und DisplayName mit einer Dateiangabe steht. Die Datei würde ich noch näher untersuchen, um zu erfahren, um welches Programm es sich überhaupt handelt. Du willst doch sicher nichts löschen, was noch benötigt wird.

 

Es tut mir leid, aber ich hab das noch nie gemacht, wie du dir wahrscheinlich vorstellen kannst und bräuchte deshalb genauere Angaben dazu, wie man das macht.
Ich habe mich grade darüber informiert wie das mit dem Einrichten eines Wiederherstellungspunktes ist und habe dabei erfahren, dass Systemdateien nicht gesichert werden und soweit ich weiß ist die befallene Datei eine Systemdatei, oder etwa nicht?

Was soll ich jetzt machen?

Im Anhang habe ich den Abschnitt aus der Hilfefunktion gespeichert, der besagt, dass die Systemdateien, die der Computer ausführen muss, nicht gespeichert werden.

Edit:
Angehängte Datei (*doc) entfernt!
>X-MAN<

 

Soll Hummer sich noch mal opfern?
-----------------
regedit ist ein Windows Tool, das in der Windows Hilfe erklärt wird. Zusätzlich gibt es noch diese Anleitung http://www.pcwelt.de/forum/faqs-anleitungen/203724-einf-hrung-registry.html

 

sry, hier ist das ganze nochmal im txt-Format.

Auf jeden Fall steht hier bei der Windows-Hilfe zu Systemwiederherstellungspunkten, dass man Systemdateien bei Wiederherstellungspunkten nicht sichern kann.

 

Das ist auch nicht nötig, wenn die Veränderungen zum vorherigen Systemwiederherstellungspunkt und Einstellungen gesichert werden. Die Systemwiederherstellung hat ja nicht den Platz, um jedes mal eine 1:1 Kopie des Systems zu machen.

 

Ist der Virus nun unsch&#228;dlich wegen den ihm fehlenden Teilen, oder nicht?
Meine Familienmitglieder und ich machen sowiso kein Internetbanking und tauschen auch keine wichtigen Informationen &#252;bers Internet aus oder speichern dort welche.

Sollte ich nicht besser warten und dann, wenn Windows 7 auf dem Markt ist, diese Version auf den Rechner spielen?

Und wenn ich die infizierte Registry-Datei l&#246;sche, bist du dir sicher, dass, wenn Fehler auftreten sollten, ich problemlos den letzten Zustand widerherstellen kann?!

 

Wenn nur die Registry vom Virus geändert wurde und sonst weder Schadcode vorhanden noch gestartet worden ist, kann man davon ausgehen, dass der Schädling nicht aktiv war.
Nach dem, was ich von deinem System gesehen habe, war er nicht aktiv.
Ein Kompromittierung fand trotzdem statt.