|
Plagegeister aller Art und deren Bekämpfung: TR/dldr.agent.gs ???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.01.2005, 08:59 | #1 |
| TR/dldr.agent.gs ??? Hallo, ich habe den o.g. Trojaner eingefangen, der sich auch mir AntiVir nicht entfernen lässt. Kann mir jemand bitte weiterhelfen ? Das Ding ist wirklich nervtötend Hier das Logfile von Hijackthis: Logfile of HijackThis v1.99.0 Scan saved at 08:56:05, on 04.01.05 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\LTSMMSG.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\IRMON.EXE C:\WINDOWS\SYSTEM\ALI51SND.EXE C:\PROGRAMME\CANON\CANON FAX\MONITR32.EXE C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE C:\PROGRAMME\AVMCLIENT\PANAPP.EXE C:\WINDOWS\SYSTEM\DAEMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\TEMP\60B1.TMP.EXE C:\PROGRAMME\FRITZ!\IWATCH.EXE C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE C:\PROGRAMME\FRITZ!\FRIWEB32.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\FXREDIR.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\OUTLOOK.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\EMULE.DE\EMULE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\AVPERSONAL\AVWIN.EXE C:\WINDOWS\DESKTOP\HIJACK THIS\HIJACKTHIS.EXE C:\WINDOWS\NOTEPAD.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von STRATO O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Class - {10124E2B-C235-B52C-4D84-90AC202AEAC7} - C:\WINDOWS\APPWD32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ALi51Snd] ALi51Snd.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [MP_STATUS_MONITOR] "C:\Programme\Canon\Canon FAX\monitr32.exe" I O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [MMHID] rundll32 mmhid.dll,StartMmHid O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab Die Zeilen: O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) erscheinen auch nach dem automatischen fixen bei hijackthis.de wieder. Danke für Eure Hilfe ! |
04.01.2005, 10:36 | #2 |
| TR/dldr.agent.gs ??? @donet1
__________________immer hilfreich wäre es, wenn du der pafdangabe gemacht hättest. lade dir escan download lese der anleitung, mache es genauso wie beschrieben wird teile uns das gesamte (!) Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman
__________________ |
04.01.2005, 11:05 | #3 |
| TR/dldr.agent.gs ??? @chaosman:
__________________danke für die Hilfe! Lade gerade escan runter. Als Fehlermeldungen hat mein AVGuard folgendes gezeigt: C\Windows\System\SysB.exe enthält Code des Virus "TR/Dldr.agent.al" C:Windows\MFCI32.exe enthält Code des Virus "TR/Dldr.agent.gs" Hilft das weiter? |
04.01.2005, 11:12 | #4 |
| TR/dldr.agent.gs ??? @donet1 um die trusted zones weg zu bekommen, mache das hier http://www.trojaner-board.de/showthr...9&page=4&pp=10 poste danach die escan ergebnisse wie gepostet chaosman
__________________ Bonus vir semper tiro |
04.01.2005, 15:11 | #5 |
| TR/dldr.agent.gs ??? nach dem escan wurde folgendes Ergebnis angezeigt. Wie bekomme ich die Dinger nun weg? File C:\WINDOWS\APPWD32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\WINDOWS\appwd32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\60B1.TMP infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\60B1.TMP.exe infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\60B1.TMP infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\60B1.TMP.exe infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Desktop\web to date design pack\CdaLMS.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\Desktop\HiJack This\backups\backup-20050104-083924-148.dll infected by "not-a-virus:AdWare.WinAD.j" Virus. Action Taken: No Action Taken. File C:\WINDOWS\appwd32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\m00.exe infected by "Trojan-Downloader.Win32.WinShow.ar" Virus. Action Taken: No Action Taken. |
04.01.2005, 18:43 | #6 |
Administrator, a.D. | TR/dldr.agent.gs ??? Indem du zu den betreffenden Dateien navigierst und sie dann manuell löschst. Alternativ: Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zu den Ordnern bzw. Dateien und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.
__________________ --> TR/dldr.agent.gs ??? |
Themen zu TR/dldr.agent.gs ??? |
adobe, antivir, bho, button, canon, desktop, entfernen, excel, explorer, fritz!, heulen, hijack, hijack this, hijackthis, internet, internet explorer, logfile, microsoft, office, programme, registry, rundll, software, system, temp, trojaner, trojaner eingefangen, windows, windows\temp |