das Trojanische Pferd TR/Dldr.Agent.EX!

RainerG · 17.03.2005, 23:07

Hallo, ich habe von Antivir eine Warnung für Trojaner bekommen und gleich aufgefordert zu löschen. Später habe ich dann mir diesen Report angesehen:

17.03.2005,17:24:57 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
17.03.2005,18:28:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.EX!
C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ZZZ3V05L\LOADER2[1].OCX
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
17.03.2005,18:29:07 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.EX!
C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ZZZ3V05L\LOADER2[1].OCX
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
17.03.2005,20:50:00 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\1HPVYUNQ\ZUSAMMENFASSSUNG-MUSIKMEDIEN-03-2005[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!

Anschließend nochmal nach Viren suchen lassen und mir wurde wieder ein Trojaner gemeldet, dies konnte ich dann löschen. Bei erneuter Suche wird keiner mehr angezeigt.
Wie kann ich sicher gehen, ob alles gelöscht ist? Ist es möglich das da noch was in der registry sitzt?
Bitte um Hilfe!
RainerG

dartus · 17.03.2005, 23:52

Hallo RainerG,

poste bitte ein Hijackthis-Logfile

und führe bitte dies aus:
1. Downloade Dir escan und befolge diese Anleitung (Scan Im abgesicherten Modus dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

b.glueck · 07.04.2005, 15:29

Hallo. Auch mich hat dieser Trojaner befallen. AntiVir hat ihn erkannt und entfernt, allersings nachdem bereits jenste dinge installiert worden sind... ich verwende als webbrowser ja eigentlich Mozilla Firefox, hab aber aus neugier/vorahnung nach der atacke mal wieder den Windows Internetexplorer gestartet und wieder (wie schon einmal vor einem halben jahr auf einem anderen PC) die "tolle" mysearch leiste gefunden, die keiner will.

zudem erkennt mein LapTop einen tag nach dem angriff das lokale WLan-Netzwerk nicht mehr, obwohl das Grät praktisch neu ist und die Hardware als intakt und aktiv gekennzeichnet wird. Kann das auch mit dem Virus zusammenhängen, oder ist es Zufall, dass Virus und Aussteigen der WLan-karte (was ich vermute) +/- zusammenfielen?

hier mal das logfile von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:44:25, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AntiVir\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\MSN Plus!\MsgPlus.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir\AVGNT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ben\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mhriiwjrinlwghdpdzagkqvxb...OvhuOWYv3h.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iptevlqmuhupxuihbfupigzvm...rWAH0cg1nw.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Programme\NetAnts\AntAPI.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {C5113B8D-78CA-C5E4-0382-4BBBCD5137DC} - C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1\five start.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MSN Plus!\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NURBREGSBOLTTHE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs\Chic Global.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MSN Plus!\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [forkcity] C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1\CoalEq.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\Windows\iLookup\ezStub22.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23169cfd...dxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\Windows\system32\ZoneLabs\vsmon.exe

danke für die unterstützung...

b.glueck

UPDATE 07/04/05 18:06
Durch reinstalation des Treibers für die WLan-karte funktioniert diese wieder einwandfrei... offenbar hat der Virus den Treiber zerschossen. puh. 1 Problem weniger. was bleibt: die mysearchnow leiste im IExplorer.

danke, Ben

dartus · 07.04.2005, 20:13

Hallo b.glueck,

NetAnts arbeitet mit Spyware benutze lieber die werbefreien Leechget oder Getright.
Das gleiche der MessengerPlus3, falls Du ihn mit sog. Sponsorprogrammen geladen hast. Den gibt es auch ohne Sponsoren.

Wo hat Antivir den Schädling festgestellt (bitte Pfad angeben)?

Führe mal Escan aus, wie hier in den Thread beschrieben.

dartus

b.glueck · 08.04.2005, 00:16

- habe NetAnts deinstalliert,
- messengerplus!3 hat gefragt, ob ich nur die sponsorsoftware deinstallieren will. dies habe ich mit ja beantwortet und ausgefürt.
- die Datei eZstub.exe in C:\Windows\ilookup versuchte auf das Internet zuzugreifen. ich hatte die datei früher schon mal gelöscht, weil ich sie mit dem virus in zusammenhang brachte... plötzlich ist sie wieder da. habe den Ordner und einen zweiten mit gleichem Erstellungszeitpunkt gelöscht.
- zudem habe ich das Programm iTunes deinstalliert. Ich weiss weder woher es kommt, noch habe ich es je verwendet... während der deinstallation erschienen (wieder) zwei Verknüpfungen auf dem Desktop: Tune up your pc (oder so ähnlich) und Joker...

kann leider nicht sagen, wo AntVir den Virus geortet hatte. die Reportdatei wurde weitergeführt und reicht nicht weiter als 3 tage zurück.

dartus · 08.04.2005, 00:23

Hallo,

nach dem Escan sehen wir weiter.

dartus

b.glueck · 08.04.2005, 02:41

hier nun also die e-scan resultate:

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with bearshare Spyware/Adware! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "bearshare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with bearsharechatnotifymsg Spyware/Adware! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "bearsharechatnotifymsg Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:50 2005 => File C:\WINDOWS\woinstall.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:30:33 2005 => File C:\DOKUME~1\Ben\LOKALE~1\Temp\fxmbculu.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:33:31 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\ED78P432\woinstall[1].exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:33:51 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\EZ63Y927\eZinstall[1].exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:35:50 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\GLM3C16N\ysb_prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:01:48 2005 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\Temp\Magiceye.exe infected by "not-a-virus:AdWare.Gator.3103" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:02:03 2005 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\Temp\WarezP2P.exe infected by "Trojan-Downloader.Win32.Small.apc" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:12:36 2005 => Scanning Folder: C:\Programme\AntiVir\INFECTED\*.*
Fri Apr 08 02:12:36 2005 => Scanning File C:\Programme\AntiVir\INFECTED\PROMPT[1].HTM.VIR
Fri Apr 08 02:12:36 2005 => File C:\Programme\AntiVir\INFECTED\PROMPT[1].HTM.VIR infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:12:36 2005 => Scanning File C:\Programme\AntiVir\INFECTED\_CACHE_003_.VIR
Fri Apr 08 02:12:36 2005 => File C:\Programme\AntiVir\INFECTED\_CACHE_003_.VIR infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:00 2005 => File C:\Programme\BearShare\Installer\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:00 2005 => File C:\Programme\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:05 2005 => File C:\Programme\BearShare\Update\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:05 2005 => File C:\Programme\C2Media\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:07 2005 => File C:\RECYCLER\S-1-5-21-3895061466-2463679597-2222574396-1008\Dc55.exe infected by "Trojan-Downloader.Win32.Small.apc" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:07 2005 => File C:\RECYCLER\S-1-5-21-3895061466-2463679597-2222574396-1008\Dc56\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:47 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP105\A0021819.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:51 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP105\A0021820.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:21 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP107\A0022169.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:41 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022490.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022491.exe infected by "not-a-virus:AdWare.Whenu.a" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022497.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022498.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022536.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022537.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022538.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022539.exe infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:47 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022566.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:05 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022711.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:06 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022712.exe infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:09 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022713.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:20 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022720.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:34 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022725.exe infected by "not-a-virus:AdWare.EZula.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:51:17 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP57\A0016204.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:51:20 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP57\A0016205.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:52:14 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP65\A0017884.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:54:58 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020063.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:55:01 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020064.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:55:05 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020069.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 03:14:19 2005 => ***** Scanning complete. *****

Fri Apr 08 03:14:19 2005 => Total Objects Scanned: 80287
Fri Apr 08 03:14:19 2005 => Total Virus(es) Found: 49
Fri Apr 08 03:14:19 2005 => Total Disinfected Files: 0
Fri Apr 08 03:14:19 2005 => Total Files Renamed: 0
Fri Apr 08 03:14:19 2005 => Total Deleted Objects: 0
Fri Apr 08 03:14:19 2005 => Total Errors: 80
Fri Apr 08 03:14:19 2005 => Time Elapsed: 01:47:56
Fri Apr 08 03:14:19 2005 => Virus Database Date: 2005/04/06
Fri Apr 08 03:14:19 2005 => Virus Database Count: 124827

Fri Apr 08 03:14:19 2005 => Scan Completed.

so. das war's. habe einige eindeutige fälle bereits gelöscht, bin aber jederzeit offen für jedwelche ergänzung... merci. Ben

dartus · 08.04.2005, 17:02

Hallo b.glueck,

deinstalliere "bearshare".

Die "015"-Einträge, falls Du diese nicht kennst, wirst Du so los:
http://www.trojaner-board.de/showpos...6&postcount=31

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken) folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mhriiwjrinlwghdpdzagkqvx...aOvhuOWYv3h.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iptevlqmuhupxuihbfupigzv...HrWAH0cg1nw.htm
O2 - BHO: (no name) - {C5113B8D-78CA-C5E4-0382-4BBBCD5137DC} - C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1\five start.exe
O4 - HKLM\..\Run: [NURBREGSBOLTTHE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs\Chic Global.exe
O4 - HKCU\..\Run: [forkcity] C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1\CoalEq.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\Windows\iLookup\ezStub22.exe
Falls Du das nicht kennst ebenfalls und auch dann die Dateien löschen
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx

sowie wenn och da ale Netants-Einträge

Leere Deine "TEMP"-Ordner (Start/ausführe/cleanmgr eingeben)

Antivir-Quarantäne-Ordner leeren

Alle infected Dateien manuell löschen, die nicht in Temp-Ordner und hier C:\System Volume Information\_restore sind (am besten wenn noch vorhanden den ganzen Ordner "C:\Programme\BearShare" und "C:\Programme\C2Media), sowie diese Dateien/Ordner (wenn unbekannt):

C:\Windows\iLookup
C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs
C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1

Papierkorb leeren

Neustart-->Systemwiederherstellung aktivieren-->neues HJT-Logfile

dartus

das Trojanische Pferd TR/Dldr.Agent.EX!

Plagegeister aller Art und deren Bekämpfung: das Trojanische Pferd TR/Dldr.Agent.EX!