Hey leute,
ich habe das Programm Antivir. Es hat den trojaner tr/agent.cs erkannt.
Er sitzt in der Datei C:\WINDOWS\Web\printers\msmp3.dll
Ich habe einiges probiert, AntiVir, Spybot - Search & Destroy, konnte aber nichts ändern, da die datei msmp3.dll in windows geladen wurde.
Also habe ich meine Registry ausgeräumt und alles aus dem Autostart gelöscht. Ich habe auch die Registry nach msmp3 durchsucht und 3 einträge gefunden die zu der datei verweisen. Ich dachte mir also, ich könnte die einträge löschen und dann den Trojaner los werden. Ich kann die einträge aber nicht löschen.
Ich bin jetzt am verzweifeln und denke über systemwiederherstellung nach.
Falls mir jemand helfen kann, danke jetzt schon mal sehr.
Gruß
Dj.excellence

Zitat:

Zitat von dj.excellence

Hey leute,
Er sitzt in der Datei C:\WINDOWS\Web\printers\msmp3.dll
konnte aber nichts ändern, da die datei msmp3.dll in windows geladen wurde.
Dj.excellence

wenn der rechner bereits infiziert ist, und es laden sich nach dem löschen trotzdem wieder infekte teile mit dem system hoch, musst du die systemwiederherstellung vorher deaktivieren.

starte dann den pc in den abgesicherten modus, es LADET sich kaum etwas mit, du kannst in diesem modus infekte daten löschen.
(mit dem scanner nocheinmal durchscannen.)

Habe ich probiert, aber die Datei wird von Windows anscheinend auch im abgesicherten Modus geladen, ich kann sie einfach nicht löschen.

hey,

solltest du keinen erfolg bislang gehabt haben:

wie lautet die meldung im abgesicherten modus wenn du diese datei löschen willst?

wenn du die datei gefunden hast, lade sie doch einmal zur weiteren überprüfung hier hoch und sende sie ab:
http://www.virustotal.com/flash/index_en.html
wird sie auch von anderen scannern als infected gemeldet, dann lade dir das kleine tool HijackThis und scan in sekundenschnelle, und poste dann den log-bericht hier ins forum.
wie du vorgehst ist hier bebildert erklärt:
http://www.trojaner-board.de/51130-a...ijackthis.html

ich vermute aber auch eine Tr/Vundo infection...

wird von scannern nach dem upload der name VUNDO gemeldet...verwende dieses tool von symantec gegen Tr/Vundo
http://snipurl.com/elr0

Hallo
Ich habe auch den Trojaner Tr/agent.cs. Antivir hat ihn in der Datei accw.dll lokalisiert. Diese Datei befindet sich in C:\WINDOWS\Help.
Antivir, "Killbox", Spybot - Search & Destroy und NOD32 konnten sie nicht löschen und im abgesichertem Modus konnte ich sie auch nicht löschen.

Es folgt der log-Bericht von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:18:54, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\Help\accw.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: °Ù¶ÈËÑË÷°é - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O11 - Options group: [!IESearch] !IESearch
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/IESearch.cab
O20 - Winlogon Notify: accw - C:\WINDOWS\Help\accw.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe


Ich hoffe, dass jemand damit etwas anfangen kann. Bitte helft mir, bin total verzweifelt.
Danke im voraus
Yann

Ach ja. Eins hab ich noch vergessen: Wenn ich die Datei per Email als Dateianhang zu scan@virustotal.com schicke liegt die Größe unter 1 kB.
Ich kriege dann die Antwort:
Codification base64
Unsupported or malformed attached file codification
(Response to a message sent on Tue, 3 May 2005 17:27:08 +0200 (MEST))

Im Windows explorer steht 410 kB. Wenn ich sie direkt von der virustotal homepage aus schicke kommt eine Meldung, die besagt, dass die Datei über 2 MB groß ist und dass ich sie per Email schicken soll.
MfG
Yann