Hallo Ihr Lieben alle!
Einige werden sich sicher noch an meinen Nick erinnern...war lange nicht hier- das heißt- ich hatte auch lange Ruhe- und nun das:

Trojan-Dropper.Win32.Agent.dw

Hatte eine angebliche Rechnung der Telekom versucht zu öffnen, die eine horrende Rechnung von über 300 Euro auswies.
Habe Mail samt Anlage heruntergeladen und erstmal gespeichert- dann brav und artig mit antiVir gescannt- und dem fiel mal gar nichts auf.

Also hab ich auch versucht sie zu öffnen.
Mit dem acrobat ging es nicht wirklich...Datei sei unbekannt...
dann hab ich sie mit dem Editor geöffnet- und las etwas von wegen PDF.exe...
als kleine virengeschädigte maus dachte ich mir...hmmm...Kaspersky-online Scan....und der fand dann in beiden Dateien- sowohl der mail als auch in der anlage genau den vorgenannten.
hab schon mit Hilfe von Google und Co festgestellt, daß offenbar dieser virus recht neu ist (so ein- 3 Tage alt....)- und daß noch niemand so richtig weiß, was er macht und wie man ihn wegkriegt.

Nun hab ich ja vor einigen monaten hier schon eine ganze Menge gelernt- und hatte ja auch einige nützliche Links gespeichert- die ich dann alle verloren habe, als ich letzten endes meine Platte geputzt und neu aufgespielt habe.

Kann mir mal jemand einen rat geben, was ich nun am besten tun sollte?

Liebe Grüße, Euer dämliches schneeflöckchen 37

Ach ja- sorry- ich vergass: Windows XP home, SP2

so lautet das Betriebssystem....

@schneeflocke37
das ist den hier
http://www.sophos.com/virusinfo/anal...ojagentdw.html
der hört sich gar nicht gut an,
The Trojan opens multiple SMTP connections to IP addresses chosen at random within a 24-bit netmask specified by the author.
verbreitungsweg


ich würde gerne die meinung von andere TBoardies lesen,
chaosman

Tja, lieber chaosmann...und genau diese ekeligen infos habe ich auch schon gefunden.

Habe vorhin mein adaware und spybot aktualisiert und die von dort empfohlenen Dinge schon mal gelöscht....

Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen.
(die alte läft leider nicht mehr, teilt er mir mit....shit...)

Nun ist guter Rat teuer- und ich hoffe, daß noch jemandem etwas einfällt....
(das ausgerechnet mir das passieren muss, es ärgert mich doch sehr- denn nach meiner letzten Riesenaktion war ich echt supervorsichtig....aber der abesender war ja tatsächlich mt dem original der telekom ausgestattet- und da AntiVir nix angezeigt hatte....da ich die Telefonrechnung online erhalte, hätte es durchaus sein können.... )

Das schneeflöckchen, dem es schon wieder vorm Neuaufsetzen graut
(und das ganz böse auf sich selbst ist........... )

@schneeflocke37

Das schneeflöckchen, dem es schon wieder vorm Neuaufsetzen graut

falls du Neuaufsetzen möchtest
http://www.trojaner-board.de/showpos...28&postcount=2


Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen.
(die alte läft leider nicht mehr, teilt er mir mit....shit...)
der alte version löschte die gefundene sachen, bei der neue version muss man selber hand anlegen(abgesicherte modus, manuell löschen)

chaosman

Ach chaosschatzel....nein ich möchte gar nicht neu aufsetzen.....

Ich dachte...schelmisch guck...da es eine ganz neue geschichte ist, beschäftige ich mal wieder dieses forum, wo ich doch brav und artig 3 Monate problemlos und lieb geblieben bin...augenzwinker....

Ich hab da mal ein hijack gemacht...völlig harmlos, wie ich denke.....
(wenn sich das ding allerdings hinter svhost tarnt, dann kann ja nix gefunden werden

Logfile of HijackThis v1.99.0
Scan saved at 22:58:56, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andrea\LOKALE~1\Temp\Rar$EX00.103\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxtp://www.gedankenstern.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C897192-9867-4F1A-8F98-EA7A0B0B89B7}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Also bitte nicht wieder aufgeben...und wer helfen kann, der möge helfen....
(zum escan: er öffnet sich gar nicht erst.....auch nicht im nicht abgesicherten modus....)

Zitat:

Hatte eine angebliche Rechnung der Telekom versucht zu öffnen, die eine horrende Rechnung von über 300 Euro auswies.
Habe Mail samt Anlage heruntergeladen und erstmal gespeichert- dann brav und artig mit antiVir gescannt- und dem fiel mal gar nichts auf.

Auch wenn ein AV Scanner die Attachments für gut befindet, dann heisst das aber noch lange nicht, dass die Dateien wirklich sauber sind.

btw:
Ich kann es nicht vestehen, wie man immer wieder auf diese Masche reinfallen kann!
Info: z.B. http://www.heise.de/newsticker/meldung/55183

Zitat:

Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen.

Dann lösche mal den Ordner C:\bases und entpacke das Archiv, dass du hoffentlich noch besitzt, erneut und update danach eScan.

Zitat:

dem es schon wieder vorm Neuaufsetzen graut
(und das ganz böse auf sich selbst ist

Das spiel doch einfach ein hoffentlich erstelltes Image zurück.