TR/dldr.agent.gs ???

donet1 · 04.01.2005, 08:59

Hallo,
ich habe den o.g. Trojaner eingefangen, der sich auch mir AntiVir nicht entfernen lässt. Kann mir jemand bitte weiterhelfen ? Das Ding ist wirklich nervtötend

Hier das Logfile von Hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 08:56:05, on 04.01.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\LTSMMSG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\ALI51SND.EXE
C:\PROGRAMME\CANON\CANON FAX\MONITR32.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\TEMP\60B1.TMP.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\FRITZ!\FRIWEB32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\FXREDIR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\OUTLOOK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\EMULE.DE\EMULE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\WINDOWS\DESKTOP\HIJACK THIS\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von STRATO
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {10124E2B-C235-B52C-4D84-90AC202AEAC7} - C:\WINDOWS\APPWD32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ALi51Snd] ALi51Snd.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [MP_STATUS_MONITOR] "C:\Programme\Canon\Canon FAX\monitr32.exe" I
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MMHID] rundll32 mmhid.dll,StartMmHid
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

Die Zeilen:
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
erscheinen auch nach dem automatischen fixen bei hijackthis.de wieder.
Danke für Eure Hilfe !

chaosman · 04.01.2005, 10:36

@donet1
immer hilfreich wäre es, wenn du der pafdangabe gemacht hättest.
lade dir escan
download
lese der anleitung, mache es genauso wie beschrieben wird
teile uns das gesamte (!) Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

donet1 · 04.01.2005, 11:05

@chaosman:
danke für die Hilfe! Lade gerade escan runter.
Als Fehlermeldungen hat mein AVGuard folgendes gezeigt:

C\Windows\System\SysB.exe
enthält Code des Virus "TR/Dldr.agent.al"

C:Windows\MFCI32.exe
enthält Code des Virus "TR/Dldr.agent.gs"

Hilft das weiter?

chaosman · 04.01.2005, 11:12

@donet1
um die trusted zones weg zu bekommen, mache das hier
http://www.trojaner-board.de/showthr...9&page=4&pp=10
poste danach die escan ergebnisse wie gepostet
chaosman

donet1 · 04.01.2005, 15:11

nach dem escan wurde folgendes Ergebnis angezeigt. Wie bekomme ich die Dinger nun weg?

File C:\WINDOWS\APPWD32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\appwd32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP.exe infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP.exe infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Desktop\web to date design pack\CdaLMS.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\Desktop\HiJack This\backups\backup-20050104-083924-148.dll infected by "not-a-virus:AdWare.WinAD.j" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\appwd32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\m00.exe infected by "Trojan-Downloader.Win32.WinShow.ar" Virus. Action Taken: No Action Taken.

Cidre · 04.01.2005, 18:43

Indem du zu den betreffenden Dateien navigierst und sie dann manuell löschst.

Alternativ:
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zu den Ordnern bzw. Dateien und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

TR/dldr.agent.gs ???

Plagegeister aller Art und deren Bekämpfung: TR/dldr.agent.gs ???

TR/dldr.agent.gs ???

TR/dldr.agent.gs ???

TR/dldr.agent.gs ???

TR/dldr.agent.gs ???

TR/dldr.agent.gs ???

TR/dldr.agent.gs ???

Ähnliche Themen: TR/dldr.agent.gs ???

04.01.2005, 11:05	#3
donet1	TR/dldr.agent.gs ??? @chaosman: danke für die Hilfe! Lade gerade escan runter. Als Fehlermeldungen hat mein AVGuard folgendes gezeigt: C\Windows\System\SysB.exe enthält Code des Virus "TR/Dldr.agent.al" C:Windows\MFCI32.exe enthält Code des Virus "TR/Dldr.agent.gs" Hilft das weiter? __________________

04.01.2005, 11:12	#4
chaosman	TR/dldr.agent.gs ??? @donet1 um die trusted zones weg zu bekommen, mache das hier http://www.trojaner-board.de/showthr...9&page=4&pp=10 poste danach die escan ergebnisse wie gepostet chaosman __________________ Bonus vir semper tiro