Hallo
Mein Virenschutzprogramm hat folgendes gefunden

1. Trojan-Dropper.Win32Age wextract.exe c:Windows System:32/dllcach
2.Trojan-Dropper.Win32Age wextract.exe c:Windows System:32

Ich habe beides in Quarantene. Jetzt meldet das System das wichtige Dateien
fehlen und ich soll die InstallationsCD einlegen.
Wenn ich das mache schlägt das Virenschutzprogramm Alarm und meldet
das versucht wird auf Infizierte Dateien zuzugreifen
Was soll ich machen? Einfach vom Schutzprogramm löschen lassen?
Bitte um Antwort

Lagos

Hallo, Lagos!
Poste mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi

hallo
hier mein Logfile of HijackThis v1.99.1
Scan saved at 07:26:27, on 23.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\Helmut\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E81AE40E-B68C-4C66-AFDC-64C5D1FE3B21}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

was kann ich machen?

Lagos

Servus, Lagos!

In Deinem LogFile finde ich erstmal nichts auffälliges.
Lass´mal die vom Virenscanner gefundenen Dateien bei Jotti http://virusscan.jotti.org/de/
checken und poste das Ergebnis!
stupormundi

Es handelt sich hier zu 99% um einen Fehlalarm, welches Virenprogramm verwendest du ?


Domino

Kaum geantwortet schon ausgeloggt.


Guck mal hier .

Wenn das zutrifft, Datenbanken aktualisieren und die Datei aus dem Backup wiederherstellen.



Domino

@domino

Zitat:

Kaum geantwortet schon ausgeloggt.

Rein-raus- nur die schnellen gewinnen

Zitat:

Es handelt sich hier zu 99% um einen Fehlalarm

Das habe ich auch vermutet, aber eine zweite Meinung ist mE immer sicherer! Danke für den link, wusste nicht, dass genau dieses Prob. hier eh schon erledigt worden ist (jaja, die boardsuche sollte man nutzen...)
cu, stupormundi

Hallo
Ich habe auch GData
Danke für die schnellen Antworten.
Bin noch Laie und versuche jetzt mal die Anweisung umzusetzen

Lagos

Zitat:

Ich habe den Trojan.Dropper.Argent.TPI mir eingefangen, wie kann ich diesen beseitigen ?

Dieser ist im "System Volume Information" drin aber dieser Ordner kann man nicht öffen.

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

15.03.2008 bdagent.INI 11 47:121
15.03.2008 WindowsUpdate.log 10 21:6.786
15.03.2008 0.log 10 16:0
15.03.2008 wiaservc.log 10 15:50
15.03.2008 wiadebug.log 10 15:159
15.03.2008 bootstat.dat 10 15:2.048
15.03.2008 SchedLgU.Txt 00 11:10.526
14.03.2008 setupapi.log 19 16:1.423
14.03.2008 wincmd.ini 19 09:4.739
14.03.2008 Sti_Trace.log 18 40:0
14.03.2008 ULEAD32.INI 11 06:3.760
13.03.2008 system.ini 20 12:439
12.03.2008 wcx_ftp.ini 10 31:260
11.03.2008 brpcfx.ini 16 21:93
11.03.2008 Brpfx04a.ini 16 21:208
11.03.2008 BRPP2KA.INI 16 20:27
11.03.2008 BRWMARK.INI 16 20:425
09.03.2008 S3E76E213.tmp 10 59:24
08.03.2008 nsreg.dat 22 26:0
08.03.2008 jestertb.dll 11 26:21.504
06.03.2008 BricoPackFoldersDelete.cmd 23 06:6.116
06.03.2008 BricoPackUninst.cmd 23 06:64.387
06.03.2008 BricoPackUninst.txt 23 06:64.387
Wallpaper.bmp 06.03.2008 BricoPack 23 05:5.760.054
06.03.2008 CMISETUP.INI 22 44:92
06.03.2008 CMCDPLAY.INI 22 44:26
06.03.2008 Wininit.ini 22 44:0


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

15.03.2008 bdod.bin 11 46:81.984
14.03.2008 Comdlg32.ocx 21 09:152.844
14.03.2008 privacy.xml 18 43:122
13.03.2008 xcomm.dll 17 39:77.824
13.03.2008 FNTCACHE.DAT 16 20:127.704
12.03.2008 perfc009.dat 19 25:58.732
12.03.2008 perfh009.dat 19 25:392.432
12.03.2008 perfh007.dat 19 25:405.448
12.03.2008 perfc007.dat 19 25:70.778
12.03.2008 PerfStringBackup.INI 19 25:938.224
11.03.2008 TUKernel.exe 16 32:2.323.072
11.03.2008 bridf06a.dat 16 21:50
10.03.2008 jupdate-1.6.0_05-b13.log 16 30:6.641
10.03.2008 jupdate-1.4.2_11-b06.log 15 54:7.990
08.03.2008 BASSMOD.dll 22 28:34.308
06.03.2008 uxtheme.dll 23 06:219.648
06.03.2008 VGAunistlog.ini 22 34:78.549
06.03.2008 wpa.dbl 22 24:2.206
06.03.2008 $winnt$.inf 22 22:261
06.03.2008 CONFIG.NT 22 20:2.951
06.03.2008 amcompat.tlb 22 20:16.832
06.03.2008 nscompat.tlb 22 20:23.392
06.03.2008 logonui.exe.manifest 22 19:488
06.03.2008 WindowsLogon.manifest 22 19:488
06.03.2008 sapi.cpl.manifest 22 19:749
06.03.2008 ncpa.cpl.manifest 22 19:749
06.03.2008 wuaucpl.cpl.manifest 22 19:749
06.03.2008 cdplayer.exe.manifest 22 19:749
06.03.2008 nwc.cpl.manifest 22 19:749
06.03.2008 emptyregdb.dat 22 18:21.740
06.03.2008 h323log.txt 22 16:0
22.02.2008 javaws.exe 02 33:139.264
22.02.2008 javacpl.cpl 02 33:69.632
22.02.2008 javaw.exe 01 23:135.168
22.02.2008 java.exe 01 23:135.168
28.11.2007 duzsactx.dll 08 50:327.680
28.11.2007 dzips32.dll 08 50:192.512
28.11.2007 dunzips32.dll 08 50:167.936
28.11.2007 dzsactx.dll 08 50:344.064
28.11.2007 dznscore.dll 08 50:290.816
12.10.2007 NMSAccessU.exe 09 34:71.096
26.09.2007 ieframe.dll.mui 18 05:1.040.384
26.09.2007 advpack.dll.mui 18 05:12.288
13.08.2007 mshtml.dll 18 54:3.578.368
13.08.2007 msfeedsbs.dll 18 54:50.688
13.08.2007 msfeeds.dll 18 54:458.752
13.08.2007 mshtmled.dll 18 54:475.648


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 172 K
smss.exe 488 Console 0 216 K
csrss.exe 652 Console 0 3.080 K
winlogon.exe 784 Console 0 2.184 K
services.exe 828 Console 0 2.152 K
lsass.exe 840 Console 0 3.096 K
svchost.exe 996 Console 0 2.440 K
svchost.exe 1092 Console 0 2.368 K
svchost.exe 1184 Console 0 12.800 K
svchost.exe 1248 Console 0 1.632 K
svchost.exe 1452 Console 0 1.400 K
spoolsv.exe 1648 Console 0 1.944 K
MioNetManager.exe 1964 Console 0 1.760 K
SMAgent.exe 124 Console 0 392 K
svchost.exe 260 Console 0 2.584 K
xcommsvr.exe 292 Console 0 256 K
MioNet.exe 300 Console 0 34.760 K
livesrv.exe 360 Console 0 1.212 K
vsserv.exe 604 Console 0 2.540 K
alg.exe 968 Console 0 1.376 K
svchost.exe 1172 Console 0 9.240 K
explorer.exe 1332 Console 0 21.988 K
wscntfy.exe 184 Console 0 832 K
SMax4PNP.exe 2124 Console 0 1.732 K
BrMfcWnd.exe 2180 Console 0 1.668 K
bdagent.exe 2284 Console 0 1.496 K
ctfmon.exe 2352 Console 0 1.676 K
BrMfcMon.exe 2680 Console 0 1.100 K
ImApp.exe 688 Console 0 13.456 K
iexplore.exe 3332 Console 0 34.936 K
cmd.exe 3148 Console 0 1.708 K
tasklist.exe 2744 Console 0 4.256 K
wmiprvse.exe 3892 Console 0 5.460 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 15.03.2008 um 11:49:49,46 ***