schwarzschwarz

schwarz

Hallo, bin brandneu hier und bitte um wohlwollende Aufnahme!
Was ist das hier für ein Mistding: TR/Dldr.Agent.EC.1??
Wird von Adaware nicht gefunden.
Ist angeblich in explorer.cab
Weiß jemand um dieses Ding-Trojaner?

Poste mal ein HJT-Logfile. Halte Dich genau an die Anweisungen:
http://www.trojaner-board.de/showthread.php?t=17493

Servus, bubeli!
Wie kommst Du zu dieser Meldung? Womit wo und wann gefunden? Ich nehme an, dass Du in der letzten Zeit ein Mail mit Anhang geöffnet hast, in der Bezug auf irgendeine Rechnung (zB ebay) oder so ähnlich genommen wird?
Poste doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
bis dann, stupormundi
~~edit ~~ @felix1: Servus, warst schneller ~~/edit~~

Hallo, stupormundi und felix1! Ein" log-file posten" muß ich erst noch lernen! Auf jeden Fall hat sich im log-file seit dem 02.08.05 rein gar nichts verändert bis heute. Der Trojaner ist seit gestern da. Kurz bevor Ad-Aware mit "Scanning IE Favorites" fertig ist, kommt von AntiVir die Warnung "Meldung: TR/Dldr.Agent.EC.1, Datei: explorer.cab, Dieses Archiv enthält eine oder mehrere infizierte Dateien, die nicht repariert oder gelöscht werden." Laß ich AntiVir laufen, wird der Trojaner gleich erkannt. Hilft das weiter?

Servus, bubeli!

Zitat:

Ein" log-file posten" muß ich erst noch lernen

Na dann kannst Du gleich mal üben: Öffne eine Antwort hier in diesem thread, öffne gleichzeitig das HJT-Log welches Dir nach dem Durchlauf angezeigt wird, markier dort mit dem Mauscursor alle Information, dann rechte Maustaste "kopieren", wechsle hierher zurück in Deine geöffnete Antwort--> wieder rechte Maustaste "Einfügen" und siehe da, da ist Dein Logfile. Beachte noch, dass Du aktive links editierts á la http-->h**p
Wo (Verzeichnis) befindet sich die explorer.cab Datei denn?
bis dann, stupormundi

Hallo, stupormundi! Danke für die Anweisung. Ich weiß nicht, wie man "eine Antwort hier in diesem thread" öffnet! Ein "thread" war für mich bis heute ein "Faden!" Bitte um Aufklärung, dann klappts hoffentlich. Gruß

Zitat:

Hallo, stupormundi! Danke für die Anweisung. Ich weiß nicht, wie man "eine Antwort hier in diesem thread" öffnet! Ein "thread" war für mich bis heute ein "Faden!" Bitte um Aufklärung, dann klappts hoffentlich. Gruß

Indem Du das geschrieben hast, hast Du bereits

Zitat:

"eine Antwort hier in diesem thread" [ge]öffnet

In das weiße Kasterl, in welches Du diese Worte hineingetippselt hast, hättest Du auch wie von mir beschrieben mit "kopieren" und "einfügen" Dein Logfile hereinkopieren können!
Und ja, "thread" heißt wörtlich übersetzt Faden, meint aber hier ein eröffnetes Thema, welchem man eben wie einem roten Faden folgen kann!
Alles klar?
cu, stupormundi

Zitat:

Zitat von stupormundi

Indem Du das geschrieben hast, hast Du bereits
In das weiße Kasterl, in welches Du diese Worte hineingetippselt hast, hättest Du auch wie von mir beschrieben mit "kopieren" und "einfügen" Dein Logfile hereinkopieren können!
Und ja, "thread" heißt wörtlich übersetzt Faden, meint aber hier ein eröffnetes Thema, welchem man eben wie einem roten Faden folgen kann!
Alles klar?
cu, stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 09:30:24, on 29.09.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\B07B.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [YAW Autostart] "C:\PROGRAMME\YAW\yaw.exe"
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: StarOffice Manager.lnk = C:\OFFICE3\soffice3.exe
O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab

Griaß Di! Schaug hii, Bubeli hats geschafft!! Als Anfänger im pc-business bin ich natürlich ganz schön stolz, also mach mich nicht nieder! Und danke für Deine Ausdauer.

Servus, bubeli!
Na, wird ja schon!

Zitat:

mach mich nicht nieder!

warum sollte ich?
Meine Devise: man muss nicht alles können - wie denn auch? aber man sollte bei Bedarf können wollen - und das willst Du ja anscheinend!
Lass´ mal die Datei

Zitat:

C:\WINDOWS\B07B.EXE

bei Jotti virusscan.jotti.org/de prüfen und poste das Ergebnis! Falls es nicht funktioniert den Prozess vorher im taskmanager beenden.

Zitat:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

fixen!

Zitat:

O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)

sind Dir die IPs bekannt? Wenn ja is gut, wenn nein, fixen!
Zum fixen:

Zitat:

Zitat von Usermanual HighJackThis

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

Was ist eigentlich damit

Zitat:

Ich nehme an, dass Du in der letzten Zeit ein Mail mit Anhang geöffnet hast, in der Bezug auf irgendeine Rechnung (zB ebay) oder so ähnlich genommen wird?

trifft derartiges zu?
bis später, stupormundi

[FONT=Arial]Hallo, stupormundi! C:\Windows\B07B.EXE kann ich in meinem Logfile nicht finden. 02-BHOno name).... habe ich gefixt. NICHT fixen lassen sich die beiden 015-Trusted....!Ich hab die beiden im Internet gesucht:....125.149 kann nicht geöffnet werden, .....124.130 ist Porno pur für Liebhaber extrem korpulenter Frauen. Im Ordner "Domains" in der Registry war ein einziger "Trusted." Den hab ich gelöscht und gleich nochmal ein Logfile gemacht. Und siehe da: Es ist alles beim alten! Das dürften auch Trojaner sein, sind schon lange bei mir, haben aber nie gestört. Zur Frage "Mail mit Anhang:" Eine Telefonrechnung und eine Lieferantenrechnung kamen als Anhang.
AntiVir gibt an: C:\WINDOWS\TEMP\AAWTMP\C1570107\EXPLORER.EXE sei der Trojaner. Bei jeder dieser Meldung -bisher 5 -war die Buchstaben- und Zahlenreihe nach "AAWTMP verschieden. Ort/Datei: explorer.cab.
Fazit: Ich hab seit längerem 2 sleeping trojans und seit vorgestern den "Agent," den ich nicht finde!
Was tun?
Gruß aus Fürth

Servus wieder, bubeli!

Hartnäckige Sache insgesamt, aber

Zitat:

Was tun?

- Next lesson: escan im abgesicherten Modus nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 Lies´ Dir die Anleitung vor dem Start GENAU durch ( drucke sie Dir eventuell aus mit Hilfe von Cidres offline-Link http://www.trojaner-info.de/anleitun..._antivirus.pdf) und halte Dich genau an jeden Punkt (Speicherort von escan, Update vor dem Scan, richtige Einstellungen von Sprache und Scannereinstellungen wie beschrieben) und poste anschließend (=kennst Du ja schon - kopieren und einfügen ) das Ergebnis von Haui45´s find.bat (=ebenfalls in der Anleitung von Cidre zu finden) hier.
Bis dann, stupormundi

Jo, servus, stupormundi!
Der elendige Trojaner ist weg! Und zwar mitsamt AntiVir Personal! Kaspersky findet nix mehr.
Das war so: Um das Updaten bei AV zu beschleunigen, pflegte ich das Programm während des Updates stillzulegen. Das war nie ein weiser Entschluß!
Letztes Jahr hatte ich plötzlich 11 (elf) AdWare-Schlimmlinge auf ein Mal als ungebetene Gäste-und keine Ahnung, wie die reinkamen.
Dieses Jahr kam der Agent und bei mir die Erkenntnis! In einem üblen Zornesanfall warf ich AntiVir und Kaspersky-trial hinweg!!
Und jetzt is a Ruah.
Vielen Dank für die Tipps und Anregungen