Hallo Ihr Lieben alle!
Einige werden sich sicher noch an meinen Nick erinnern...war lange nicht hier- das heißt- ich hatte auch lange Ruhe- und nun das:

Trojan-Dropper.Win32.Agent.dw

Hatte eine angebliche Rechnung der Telekom versucht zu öffnen, die eine horrende Rechnung von über 300 Euro auswies.
Habe Mail samt Anlage heruntergeladen und erstmal gespeichert- dann brav und artig mit antiVir gescannt- und dem fiel mal gar nichts auf.

Also hab ich auch versucht sie zu öffnen.
Mit dem acrobat ging es nicht wirklich...Datei sei unbekannt...
dann hab ich sie mit dem Editor geöffnet- und las etwas von wegen PDF.exe...
als kleine virengeschädigte maus dachte ich mir...hmmm...Kaspersky-online Scan....und der fand dann in beiden Dateien- sowohl der mail als auch in der anlage genau den vorgenannten.
hab schon mit Hilfe von Google und Co festgestellt, daß offenbar dieser virus recht neu ist (so ein- 3 Tage alt....)- und daß noch niemand so richtig weiß, was er macht und wie man ihn wegkriegt.

Nun hab ich ja vor einigen monaten hier schon eine ganze Menge gelernt- und hatte ja auch einige nützliche Links gespeichert- die ich dann alle verloren habe, als ich letzten endes meine Platte geputzt und neu aufgespielt habe.

Kann mir mal jemand einen rat geben, was ich nun am besten tun sollte?

Liebe Grüße, Euer dämliches schneeflöckchen 37

Ach ja- sorry- ich vergass: Windows XP home, SP2

so lautet das Betriebssystem....

@schneeflocke37
das ist den hier
http://www.sophos.com/virusinfo/anal...ojagentdw.html
der hört sich gar nicht gut an,
The Trojan opens multiple SMTP connections to IP addresses chosen at random within a 24-bit netmask specified by the author.
verbreitungsweg


ich würde gerne die meinung von andere TBoardies lesen,
chaosman

Tja, lieber chaosmann...und genau diese ekeligen infos habe ich auch schon gefunden.

Habe vorhin mein adaware und spybot aktualisiert und die von dort empfohlenen Dinge schon mal gelöscht....

Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen.
(die alte läft leider nicht mehr, teilt er mir mit....shit...)

Nun ist guter Rat teuer- und ich hoffe, daß noch jemandem etwas einfällt....
(das ausgerechnet mir das passieren muss, es ärgert mich doch sehr- denn nach meiner letzten Riesenaktion war ich echt supervorsichtig....aber der abesender war ja tatsächlich mt dem original der telekom ausgestattet- und da AntiVir nix angezeigt hatte....da ich die Telefonrechnung online erhalte, hätte es durchaus sein können.... )

Das schneeflöckchen, dem es schon wieder vorm Neuaufsetzen graut
(und das ganz böse auf sich selbst ist........... )

@schneeflocke37

Das schneeflöckchen, dem es schon wieder vorm Neuaufsetzen graut

falls du Neuaufsetzen möchtest
http://www.trojaner-board.de/showpos...28&postcount=2


Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen.
(die alte läft leider nicht mehr, teilt er mir mit....shit...)
der alte version löschte die gefundene sachen, bei der neue version muss man selber hand anlegen(abgesicherte modus, manuell löschen)

chaosman

Zitat:

Hatte eine angebliche Rechnung der Telekom versucht zu öffnen, die eine horrende Rechnung von über 300 Euro auswies.
Habe Mail samt Anlage heruntergeladen und erstmal gespeichert- dann brav und artig mit antiVir gescannt- und dem fiel mal gar nichts auf.

Auch wenn ein AV Scanner die Attachments für gut befindet, dann heisst das aber noch lange nicht, dass die Dateien wirklich sauber sind.

btw:
Ich kann es nicht vestehen, wie man immer wieder auf diese Masche reinfallen kann!
Info: z.B. http://www.heise.de/newsticker/meldung/55183

Zitat:

Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen.

Dann lösche mal den Ordner C:\bases und entpacke das Archiv, dass du hoffentlich noch besitzt, erneut und update danach eScan.

Zitat:

dem es schon wieder vorm Neuaufsetzen graut
(und das ganz böse auf sich selbst ist

Das spiel doch einfach ein hoffentlich erstelltes Image zurück.

Ach chaosschatzel....nein ich möchte gar nicht neu aufsetzen.....

Ich dachte...schelmisch guck...da es eine ganz neue geschichte ist, beschäftige ich mal wieder dieses forum, wo ich doch brav und artig 3 Monate problemlos und lieb geblieben bin...augenzwinker....

Ich hab da mal ein hijack gemacht...völlig harmlos, wie ich denke.....
(wenn sich das ding allerdings hinter svhost tarnt, dann kann ja nix gefunden werden

Logfile of HijackThis v1.99.0
Scan saved at 22:58:56, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andrea\LOKALE~1\Temp\Rar$EX00.103\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxtp://www.gedankenstern.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C897192-9867-4F1A-8F98-EA7A0B0B89B7}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Also bitte nicht wieder aufgeben...und wer helfen kann, der möge helfen....
(zum escan: er öffnet sich gar nicht erst.....auch nicht im nicht abgesicherten modus....)

Sorry, aber bitte neuaufsetzen und bei dem funktionierenden und nicht kompromittiertem System ein Backup machen!!!
Das ist gar nicht so schwer. Dann kann man nämlich einfach bei einem dummen Fehler (was immer mal wieder vorkommt) einfach das Backup einspielen.

Ich verstehe immer noch nicht.warum man solche Attachements öffnet - ein aktueller KAV hätte doch eh alle Probleme abgefangen ...

Na ja ...
Gruss!
MyThinkTank

@Cidre

Ja, ja, schimpf ruhig mit mir....ich ärgere mich doch schon selbst genug- hab aber Rechnung online per Mail erst vorgestern aktiviert- und wußte es somit nicht besser....

Ein Image? Du meinst so ein ding von dem System wie es direkt nach dem letzten Aufsetzen war?
Hmmmm- ich bin ziemlich blöond, kann schon ne Menge und war froh, daß ich das System wieder laufen hatte und alles recht reibungslos nach gut 4 Tagen geklappt hatte....
Habe auch die ganzen Erfahrungen des letzten Crashs mit hineingepackt in mein verhalten: surfen nur noch mit Mozilla, eingeschränktes Nutzerkonto- alle microsoftupdates automatisch runtergeladen (damit ich bloss keines versäume), XP Firewall eingeschaltet und keine zusätzliche installiert und ausserdem beim Surfen echt noch Brain 2.0 eingeschaltet- aber- die Cracks, die diese Trojaner versenden sind echt schlau...nicht mehr Kopf schütteln...hast Du noch ne andere Idee als Neuaufsetzen?
Die Sache mit dem escan klappt nicht wirklich....die MWAV.exe lässt sich erst gar nicht ausführen unter dem Hinweis auf die virus database, die älter als 30 Tage ist.....hab ich gerade nochmal versucht....bringt also nicht mehr wirklich was....

@MyThinkTank und Cidre:

Könnt Ihr mir dann mal bitte verraten, wie ich ein Backup vom frischen System mache?

(Habe nen CD-Brenner und ein Disketten-Laufwerk drin- komme ich damit weiter?) (Ich höre Euch schon bis hierher stöhnen.......)

Hallo!
Guckst Du bitte hier:
Link: http://www.pctipp.ch/downloads/dl/25735.asp
und hier:
http://www.partition-saving.com/

Wichtig ist dabei, dass Du eine Partition bzw. ein logisches Laufwerk als FAT32 formatierst, damit Du unter DOS auch an das Backup herankommst. Oder auf CDs/DVDs ausweichen!

Gruss!
MTT

Zitat:

gar nicht ausführen unter dem Hinweis auf die virus database, die älter als 30 Tage ist

Doppelklick auf kavupd.exe, dann sollte es eigentlich wieder funktionieren.

Zitat:

Könnt Ihr mir dann mal bitte verraten, wie ich ein Backup vom frischen System mache?

Ja, verraten schon aber bitte nicht weitersagen.
z.B. Acronis -> http://www.pc-erfahrung.de/Index.htm...ttenImage.html