Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner TR/Dldr.Agent.40448.1

Trojaner TR/Dldr.Agent.40448.1


Log-Analyse und Auswertung: Trojaner TR/Dldr.Agent.40448.1

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.08.2006, 11:04   #1
Flaxorizer
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Hallo,

Antivir bringt ca. alle 20 Minuten die Meldung, dass es den Trojaner "TR/Dldr.Agent.40448.1" gefunden habe. Ich habe mal die automatische Auswertung des HijackThis logs machen lassen, aber dort wird alles als "gut" angezeigt.

HijackThislog:


Logfile of HijackThis v1.99.1
Scan saved at 11:40:37, on 20.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nba.com/
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O15 - Trusted Zone: h**p://www.amaena.com
O15 - Trusted Zone: h**p://locator.cdn.imageservr.com
O15 - Trusted Zone: h**p://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted IP range: h**p://202.67.220.225
O15 - Trusted IP range: h**p://59.148.220.121
O15 - Trusted IP range: h**p://62.4.84.53
O15 - Trusted IP range: h**p://82.98.235.58
O15 - Trusted IP range: h**p://85.12.25.90
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

Alt 20.08.2006, 12:12   #2
Sunny
Administrator
> Competence Manager
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Hallo,

wo wurde den der Schädling (TR/Dldr.Agent.40448.1) gefunden? Sieh mal im letzten Report von deinem AV-Scanner nach welche Datei/Verzeichnis infiziert ist.

Abgesehen davon solltest du den MessengerPlus! 3 deinstallieren!
(über START->Systemsteuerung->Software)
Dieser bringt meist immer jede Menge Spyware mit sich!

Zusätzlich solltest du noch folgende Einträge mit HijackThis fixen:

Zitat:
O15 - Trusted Zone: h**p://www.amaena.com
O15 - Trusted Zone: h**p://locator.cdn.imageservr.com
O15 - Trusted Zone: h**p://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted IP range: h**p://202.67.220.225
O15 - Trusted IP range: h**p://59.148.220.121
O15 - Trusted IP range: h**p://62.4.84.53
O15 - Trusted IP range: h**p://82.98.235.58
O15 - Trusted IP range: h**p://85.12.25.90
Gruß
Sunny
__________________

__________________
Alt 20.08.2006, 12:43   #3
Flaxorizer
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Danke für die Antwort.

Im AV-LOG steht :

20.8.2006,13:00:34 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U9NOP83U\srvcyx[1].exe


Neuer Hijack this Log :

Logfile of HijackThis v1.99.1
Scan saved at 13:42:18, on 20.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Tiho\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nba.com/
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
__________________
Alt 20.08.2006, 12:49   #4
Sunny
Administrator
> Competence Manager
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Auch dieses Programm lädt dir ohne deines Wissens "Ad- und Spyware" herunter!
Zitat:
BearShare
Mein Tip, deinstalliere es und schmeiß es vollständig von der Platte!

Hattest du gerade zur Zeit des Scans mit HijackThis den Internet Explorer sowie Firefox geöffnet???

Lade dir folgendes Tool -> cccleaner, nur noch den Button -> "Start Cleaner" drücken und der dir angezeigte Trojaner sollte weg sein..

Gruß
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 20.08.2006, 12:51   #5
Flaxorizer
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Done.

Den IE hatte ich definitiv nicht offen. Den Firefox schon.


Alt 20.08.2006, 12:53   #6
Sunny
Administrator
> Competence Manager
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Scanne dein System mal zusätzlich mit folgenden Tools:

1.) F-Secure Blacklight

2.) SmitfraudFix

Poste im Anschluss beide Logfiles bzw. Report.txt hier in einen Beitrag.

Gruß
__________________
--> Trojaner TR/Dldr.Agent.40448.1

Alt 20.08.2006, 13:07   #7
Flaxorizer
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Blacklight:

08/20/06 13:55:15 [Info]: BlackLight Engine 1.0.46 initialized
08/20/06 13:55:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/20/06 13:55:16 [Note]: 7019 4
08/20/06 13:55:16 [Note]: 7005 0
08/20/06 13:55:29 [Note]: 7006 0
08/20/06 13:55:29 [Note]: 7011 1768
08/20/06 13:55:29 [Note]: 7026 0
08/20/06 13:55:29 [Note]: 7026 0
08/20/06 13:55:32 [Note]: FSRAW library version 1.7.1019
08/20/06 13:59:19 [Note]: 7007 0


SmitfraudFix:

SmitFraudFix v2.81

Scan done at 14:05:18,43, 20.08.2006
Run from C:\Dokumente und Einstellungen\Tiho\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tiho\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Tiho\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 20.08.2006, 13:34   #8
Sunny
Administrator
> Competence Manager
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Kommen denn eigentlich immer noch die Meldungen von Antivir bezüglich des Trojaners?


1.) Fixe nochmal, aber diesesmal im agbesicherten Modus folgende Einträge:

Zitat:
O15 - Trusted IP range: h**p://202.67.220.225
O15 - Trusted IP range: h**p://59.148.220.121
O15 - Trusted IP range: h**p://62.4.84.53
O15 - Trusted IP range: h**p://82.98.235.58
O15 - Trusted IP range: h**p://85.12.25.90
2.) Scan dein System mal mit escan nach der Anleitung in meiner Signatur!
Beachte bitte das du hier das Ergebnis mit Hilfe der "find.bat" posten musst/solltest!

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.08.2006, 02:37   #9
r0bby
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Guten Abend!

Ich habe den selben Trojaner auf meinem PC seit heute, nachdem ich eine datei aus dem inet runtergeladen und ausgeführt habe schlug mein antivir Alarm!

Code:
ATTFilter
27.08.2006,21:50:41 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.VB.abm.7!
  C:\WINDOWS\Temp\iddB.tmp.exe
      [INFO]  Die Datei wird gelöscht!
27.08.2006,21:51:03 [WARNUNG]  Enthält Signatur des Droppers DR/Softomate.Q.1!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLAVOPAV\wlzip32[1].exe
      [INFO]  Die Datei wird gelöscht!
27.08.2006,21:51:34 [WARNUNG]  Enthält Signatur des Droppers DR/Softomate.Q.1!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temp\winB.tmp
      [INFO]  Die Datei wird gelöscht!
27.08.2006,21:53:09 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.aar!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\092VKDYR\wlzip32[1].exe
      [INFO]  Die Datei wird gelöscht!
27.08.2006,21:53:27 [WARNUNG]  Ist das Trojanische Pferd TR/Drop.Zlob.VY.11!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLAVOPAV\l11[1].exe
      [INFO]  Die Datei wird gelöscht!
27.08.2006,21:53:38 [WARNUNG]  Ist das Trojanische Pferd TR/Drop.Zlob.VY.11!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temp\winF.tmp
      [INFO]  Die Datei wird gelöscht!
27.08.2006,21:56:50 [WARNUNG]  Ist das Trojanische Pferd TR/Adload.MAS.6!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temp\wsfdkqst.exe



Seitdem bekomme ich immer wieder, ca 2 mal die Stunde eine Meldung vom AntiVir. Es tauchen immer wieder folgende Dateien auf:

Code:
ATTFilter
28.08.2006,01:07:14 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09E34D27\srvvfc[1].exe
      [INFO]  Die Datei wird in das Quarantäneverzeichnis verschoben!
28.08.2006,01:07:29 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\WINDOWS\Temp\win10.tmp
      [INFO]  Die Datei wird in das Quarantäneverzeichnis verschoben!
28.08.2006,01:13:07 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\092VKDYR\srvgeq[1].exe
      [INFO]  Die Datei wird in das Quarantäneverzeichnis verschoben!
28.08.2006,01:15:31 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\WINDOWS\Temp\win12.tmp
      [INFO]  Die Datei wird in das Quarantäneverzeichnis verschoben!
28.08.2006,02:03:11 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLAVOPAV\srvttk[1].exe
      [INFO]  Die Datei wird gelöscht!
28.08.2006,02:04:31 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\WINDOWS\Temp\win18.tmp
      [INFO]  Die Datei wird gelöscht!
28.08.2006,02:48:25 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\Dokumente und Einstellungen\r0bby\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09E34D27\srvvxn[1].exe
      [INFO]  Die Datei wird gelöscht!
28.08.2006,02:50:25 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.Agent.40448.1!
  C:\WINDOWS\Temp\win22.tmp
      [INFO]  Die Datei wird gelöscht!
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 03:03:39, on 28.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
F:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
F:\Programme\Proxomitron4.51-S-1.8.0\Proxomitron.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
f:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
F:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
F:\Programme\Winamp\winamp.exe
F:\Programme\FireFox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
J:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [WinampAgent] f:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "f:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Proxomitron.lnk = F:\Programme\Proxomitron4.51-S-1.8.0\Proxomitron.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - f:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - f:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - f:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - f:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - f:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
Ich bin mit meinem Latain am Ende, im Internet findet man nur sehr wenige Informationen über diesen Trojaner wieder. Ich bin für jede Hilfe sehr dankbar!


Gruß,
r0bby
Geändert von r0bby (27.08.2006 um 02:45 Uhr)

Alt 27.08.2006, 14:26   #10
r0bby
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Also ich hab jetzt über Nacht escan laufen lassen und er hat was gefunden:

[msvLclnt.dll] [0x00000968] 28/08/2006 04:36:51:375 :[00000001] File C:\WINDOWS\system32\winetn32.dll infected by Packed.Win32.Klone.g
[msvLclnt.dll] [0x00000968] 28/08/2006 04:36:53:828 :[00000001] File C:\WINDOWS\system32\winetn32.dll infected by Packed.Win32.Klone.g

Er hat die Datei in winetn32.dll.mwt umbenannt und seit heute mittag kommt keine Meldung mehr vom AntiVir.

Bin ich jetzt erlöst ?

Alt 27.08.2006, 15:25   #11
Sunny
Administrator
> Competence Manager
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Hallo,

kann sein das du das Problem (vorerst!) gelöst hast.
Aber wie der Name des Trojaners schon sagt, TR/Dldr, er lädt immer wieder Schädlichen Code nach, aber was genau, kann dir hier keiner sagen.

Ich empfehle dir folgendes Tool -> cccleaner

Säubere damit alle temporären Verzeichnisse, und führe danach nochmal einen eScan durch, Anleitung in meiner Signatur verlinkt!

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 27.08.2006, 16:55   #12
r0bby
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


Hi Sunny,

den ccc hatte ich heute Nacht schon ausgeführt vor dem eScan. Mein PC läuft seit 6 Stunden ohne weitere Virenmeldung, sieht doch gut aus. Ich werde aber heute Nacht nochmal eScan durchlaufen lassen, wenn er nichts findet sollte wohl alles im grünen Bereich sein.
Muss ich den eScan eigentlich noch mal neuinstallieren, weil nach dem ersten Suchlauf kam da so eine komische Meldung dass ich ihn reinstallieren muss.

Gruß,
r0bby

Alt 02.09.2006, 10:58   #13
Sai
 
Trojaner TR/Dldr.Agent.40448.1 - Standard

Trojaner TR/Dldr.Agent.40448.1


hallo
ich habe das gleiche problem...
jede 20 min etwas zeigt mir antivir an das ein virus gefunden wurde.mittlerweile stehn schon 53 viren unter quarantäne..könnt ihr mir bitte helfen?
gruß sai


report:

Beginn des Suchlaufs: Samstag, 2. September 2006 12:01


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 39 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 19 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Config\desktop2.idf
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Dokumente\Fonts\SwUniNew.tff
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\0u5075jr.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\mst1B.tmp
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.36
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456d57f6.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\mst20.tmp
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.36
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456d57fc.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\mst23.tmp
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.36
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456d57ff.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\win2B.tmp.exe
[FUND] Ist das Trojanische Pferd TR/MultiDrop.IA.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456757f9.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~DF59E9.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\49MJSXMN\wind32[1].exe
[FUND] Ist das Trojanische Pferd TR/MultiDrop.IA.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4567580d.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GPMJS9QJ\anti4[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.51725
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '456d5815.qua' verschoben!
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTEN4PEB\ff3[1]
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '452c5816.qua' verschoben!
C:\Programme\ICQLite\Plugins\PluginsList.xml
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\chandir.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\chandir.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\chn.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\chn.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\D0000000.FCS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\L0000003.FCS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_die.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_die.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_dnd.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_dnd.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_ext.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_ext.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_rcv.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\prs_rcv.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\storydb.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Logitech\Desktop Messenger\8876480\Users\Simon\Data\storydb.idx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-583907252-57989841-839522115-1005\Dc1.doc
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-583907252-57989841-839522115-1005\Dc2.jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-583907252-57989841-839522115-1005\Dc3.mdi
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-583907252-57989841-839522115-1005\Dc4.jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-583907252-57989841-839522115-1005\Dc5.jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\RECYCLER\S-1-5-21-583907252-57989841-839522115-1005\Dc6.jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SoftwareDistribution\EventCache\{51565F89-F8FE-498F-BE01-DBA6CFABDB37}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\ljjkifd.dll
[FUND] Ist das Trojanische Pferd TR/Agent.51725
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45635bbd.qua' verschoben!
C:\WINDOWS\system32\pmkhf.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\winjgs32.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.36
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\iddA97.tmp.exe
[FUND] Ist das Trojanische Pferd TR/Dialer.QY.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455d5c27.qua' verschoben!
C:\WINDOWS\Temp\winA95.tmp.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.40448.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45675c32.qua' verschoben!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Samstag, 2. September 2006 12:34
Benötigte Zeit: 33:09 min

Der Suchlauf wurde vollständig durchgeführt.

4501 Verzeichnisse wurden überprüft
240935 Dateien wurden geprüft
12 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1521 Archive wurden durchsucht
58 Warnungen
1 Hinweise
Geändert von Sai (02.09.2006 um 11:36 Uhr)

Antwort

Themen zu Trojaner TR/Dldr.Agent.40448.1
auswertung, avg, avira, computer, desktop, download, downloader, einstellungen, excel, explorer, firefox, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, mozilla, mozilla firefox, nvidia, programme, software, system, trojaner, unknown file in winsock lsp, windows, windows xp


« Bitte Logfile durchschaun | Spyware Von http://www.softonic.de/seccion/358/XP-Themes »


Ähnliche Themen: Trojaner TR/Dldr.Agent.40448.1


  1. Trojaner TR/Dldr.MSIL.Agent.OF
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (3)
  2. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  3. Was (noch) tun: TR/Dldr.Agent, TR/Spy.Agent, TR/Dldr.Injecter und Trojan.Packed.191
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (5)
  4. Trojaner TR/Dldr.Agent.khj ??? Was tun ???
    Log-Analyse und Auswertung - 16.03.2008 (0)
  5. hilfe TR/Dldr.Agent.gzp , DR/Dldr.Agent.fwr.1 kriege sie nicht runter
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)
  6. Trojaner TR/Dldr.Agent.apd.*.* und TR/Drop.Age.apd.1.E
    Plagegeister aller Art und deren Bekämpfung - 16.11.2007 (0)
  7. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  8. AntiVir meldet Fund "TR/Agent.40448"
    Plagegeister aller Art und deren Bekämpfung - 18.04.2007 (9)
  9. Tr/Dlr.Agent.40448.1 und weitere Probleme
    Plagegeister aller Art und deren Bekämpfung - 06.09.2006 (3)
  10. TROJANER:TR/dldr.Agent.SO.1 Wie bekomm ich den weg?
    Log-Analyse und Auswertung - 25.06.2006 (12)
  11. Trojaner TR/Dldr.agent.td.52
    Plagegeister aller Art und deren Bekämpfung - 22.01.2006 (9)
  12. mehrere Trojaner?/Dldr.Agent.td.52
    Log-Analyse und Auswertung - 31.12.2005 (2)
  13. trojaner tr/dldr.agent.a
    Plagegeister aller Art und deren Bekämpfung - 12.12.2005 (4)
  14. Trojaner TR/Dldr.Agent.TV.9
    Plagegeister aller Art und deren Bekämpfung - 21.10.2005 (14)
  15. Trojaner Tr/dLdr.agent.bc.7
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (1)
  16. Hilfe bei Trojaner TR/Dldr.agent.cb
    Log-Analyse und Auswertung - 05.03.2005 (6)
  17. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner TR/Dldr.Agent.40448.1 - Hallo, Antivir bringt ca. alle 20 Minuten die Meldung, dass es den Trojaner "TR/Dldr.Agent.40448.1" gefunden habe. Ich habe mal die automatische Auswertung des HijackThis logs machen lassen, aber dort wird - Trojaner TR/Dldr.Agent.40448.1...
Archiv
Du betrachtest: Trojaner TR/Dldr.Agent.40448.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130