Hi,
ich krieg in letzter Zeit dauernd Meldungen von meinem Virenscanner (AntiVir), dass ich n Trojaner drauf hab. Ich hab den schon oft gelöscht, der kommt aber immer wieder ....

Die Meldung:
Ist das Trojanische Pferd TR/Dldr.Agent.EX

Hab mal HijackThis laufen lassen, wäre nett wenn ich euch das mal angucken könntet !

mfg peter

Logfile of HijackThis v1.99.1
Scan saved at 16:40:04, on 09.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sicherheit\Zone Alarm\ZoneAlarm\zlclient.exe
D:\Programme\Sicherheit\AntiVir\AVGNT.EXE
D:\Programme\Sicherheit\AntiVir\AVGUARD.EXE
D:\Programme\Sicherheit\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\devldr32.exe
E:\Miranda ICQ\MirandaICQ\miranda32.exe
C:\Programme\SlimBrowser\sbrowser.exe
D:\Programme\Sicherheit\Hijack This\HijackThis.exe

O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Sicherheit\Zone Alarm\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Sicherheit\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [RK Launcher] -
O4 - HKCU\..\Run: [WinRoll] -
O4 - HKCU\..\Run: [Yz Shadow] -
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE7139B5-A4E8-40D7-9E34-F8929E96D0D9}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Sicherheit\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Sicherheit\AntiVir\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallo,

führe bitte einen Scan mit eScan durch und poste die Funde.

Ok ich werds mal versuchen.

Wie kann ich die Systemwiederherstellung deaktivieren ? Der Link auf der Seite geht nicht ..

Zitat:

Zitat von PeterPanse

Wie kann ich die Systemwiederherstellung deaktivieren ? Der Link auf der Seite geht nicht ..

Er geht zwar, aber versuch's mal mit dem in meiner Sig.

Also bei mir kann die Seite nicht angezeigt werden, aber ich probiers mal mit googlen...

Irgendwie funzt diese Find.bat bei mir nicht, das teil scannt nur ne millisekunde, und es ist keine eScan_neu.txt zu finden.
Also hab jetzt in der log-datei nach "infected" gesucht, und folgendes ist dabei rausgekommen:

Mon May 09 17:13:01 2005 => File C:\DOKUME~1\Panse\LOKALE~1\TEMPOR~1\Content.IE5\MVSR5YRA\website[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken

Mon May 09 17:14:36 2005 => File C:\DOKUME~1\Panse\LOKALE~1\TEMPOR~1\Content.IE5\WHGTMVCH\a577a075[1].js infected by "Trojan-Downloader.JS.WinAD.c" Virus. Action Taken: No Action Taken.

Mon May 09 17:35:29 2005 => File C:\Dokumente und Einstellungen\Panse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MVSR5YRA\website[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.

Mon May 09 17:37:04 2005 => File C:\Dokumente und Einstellungen\Panse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHGTMVCH\a577a075[1].js infected by "Trojan-Downloader.JS.WinAD.c" Virus. Action Taken: No Action Taken.

Mon May 09 17:45:42 2005 => Scanning Folder: D:\Programme\Sicherheit\AntiVir\INFECTED\*.*


Außerdem hab ich sie nach "tagged" durchsucht:

Mon May 09 17:22:26 2005 => File C:\WINDOWS\FlyakiteOSX\Tools\pskill.exe tagged as not-a-virus:NetTool.PsKill. No Action Taken.


Mon May 09 17:46:47 2005 => File D:\Programme\Codecs\Codecs\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Mon May 09 17:47:18 2005 => File D:\Programme\Codecs\Codecs\Divx 5.01\DivXPro501GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon May 09 17:47:19 2005 => File D:\Programme\Codecs\Codecs\Divx 5.01\DivX501Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Mon May 09 17:47:22 2005 => File D:\Programme\Codecs\Codecs\Divx 5.0 Full\DivX5Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Mon May 09 17:47:24 2005 => File D:\Programme\Codecs\Codecs\Divx 5.02\DIVX502.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Mon May 09 17:51:14 2005 => File D:\Programme\Mac-Mod\FlyakiteOSXv2.0.exe tagged as not-a-virus:NetTool.PsKill. No Action Taken.


Mon May 09 18:18:23 2005 => File E:\Sonstiges\IRC\mirc614.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.


Mon May 09 18:18:24 2005 => File E:\Sonstiges\IRC\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.


Mon May 09 18:18:37 2005 => File E:\Sonstiges\IRC\IRC\NoNameScript\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.



Würde mich freuen wenn ihr mir helfen könntet !

Also ich wäre euch sehr verbunden, wenn ihr Euch mein Log anschauen könntet, und mir sagt was ich dagegen tun kann.

Alleine schaff ichs leider nicht

Vielen Dank im vorraus

@PeterPanse
Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.

Zitat:

C:\WINDOWS\FlyakiteOSX\Tools\pskill.exe
D:\Programme\Codecs\Codecs\DivX503Bundle.exe
D:\Programme\Codecs\Codecs\Divx 5.01\DivXPro501GAINBundle.exe
D:\Programme\Codecs\Codecs\Divx 5.01\DivX501Bundle.exe
D:\Programme\Codecs\Codecs\Divx 5.0 Full\DivX5Bundle.exe
D:\Programme\Codecs\Codecs\Divx 5.02\DIVX502.EXE
D:\Programme\Mac-Mod\FlyakiteOSXv2.0.exe

Dateien im abgesicherten Modus löschen
Danach eScan wiederholen.

Ok werd's machen !

Dank Dir für die Hilfe !!!

Flyakite ist imho sauber (nutze ich selber).

Gruß
Yopie