Hallo zusammen,

habe ein problem...mein Antivir findet in C:\Programme\Zone Labs\ZoneAlarm\ ein Trojaner namens TR/Agent.134029.B. Antivir löscht ihn aber nicht. Kann mir jemand helfen?

C:\Programme\Zone Labs\ZoneAlarm\
alert.zap
Alert_loc0407.zap
cam.zap
cam_loc0407.zap
email.zap
Email_loc0407.zap
ErrorLog.txt
expert.dll
expert_loc0407.dll
filter.zap
Filter_loc0407.zap
firewall.zap
firewall_loc0407.zap
framewrk.dll
framewrk_loc0407.dll
idlock.zap
IDLock_loc0407.zap
INSTALL.log
license.txt
privacy.zap
privacy_loc0407.zap
programs.zap
Programs_loc0407.zap
readme.html
scan.zap
Scan_loc0407.zap
Scan_loc0407.zmx
security.zap
security_loc0407.zap
zatutor.exe
zatutor_loc0407.dll
zauninst.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> FILE0005.dat
--> WISE0001.DLL
[FUND] Ist das Trojanische Pferd TR/Agent.134029.B
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> FILE0001.dat
--> FILE0002.dat
--> FILE0003.dat
--> FILE0004.dat
--> EMPTY.XML
--> VSCONFIG.XML
--> DBGHELP.DLL
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[INFO] Zugriff verweigert

[HINWEIS] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden.Mögliche Ursache: Zugriff verweigert

Hallo zusammen,

Bei mir gab es auch heute genau das gleiche Problem! Hier noch ein paar mehr Details:

- Habe folgenden Trojaner bei mir entdeckt: TR/Agent.134029.B
- Und zwar hat er sich in der Uninstall-Datei von Zonealarm in einer dll-Datei eingenistet: „zauninst.exe“, „dbghelp.dll“
- Den Fund hatte ich erst, nachdem ich heute das neue Antivir 7 draufgespielt habe
- Antivir entdeckt die infizierte Datei, kann Sie aber nicht löschen oder in Quarantäne stecken, bei manuellen Löschversuchen der Datei oder des Ordners wird mir der Zugriff verweigert, weil ich angeblich keine Administratorenrechte hätte (was auf dem Rechner nicht der Fall ist!)
- Bisher hat sich der Rechner einmal nach 60 sek. aus dem Internet verabschiedet und ist runtergefahren, ansonsten habe ich bisher keine Auswirkungen des Trojaners festgesellt. Trotzdem will ich das Ding natürlich loswerden ….
- Habe Adaware, Spybot, CCleaner laufen lassen, hat nichts gebracht

Habt ihr nützliche Tipps? Schon Erfahrungen mit dem Trojaner gemacht? Scheint etwas Neues zu sein, bei google gab es nichts dazu! Wie werde ich ihn los? Ich weiss nicht, ob es etwas nützt, aber ich habe euch mal meine Hijacklogdatei reinkopiert, vielleicht fällt euch da etwas auf? Bin als PC-Laie auf euch angewiesen :-)

Wäre super, wenn ihr mir helfen könnten! Danke!
Bernd


Logfile of HijackThis v1.99.1
Scan saved at 12:42:10, on 24.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
D:\WINDOWS\Dit.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
D:\WINDOWS\System32\RunDll32.exe
D:\WINDOWS\mHotkey.exe
D:\WINDOWS\CNYHKey.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\DitExp.exe
D:\WINDOWS\System32\msiexec.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
D:\PROGRA~1\MI1933~1\Office10\OUTLOOK.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Dokumente und Einstellungen\***\Desktop\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt***/www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt***//www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt***//www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htt***//www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-7***} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-C***} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {***} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {***} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "D:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Active Desktop Calendar] D:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04***} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-***} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{52E9AF0E-687E-4514-8430-***}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - D:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - D:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - D:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Win XP im abgesicherten Modus starten (F8) - so kann zauninst.exe gelöscht werden - habe das gestern so gemacht - bis jetzt keine Nachteile festgestellt - Antivir zeigt keine Viren mehr an - möglicherweise muss ZA gelegentlich neu installiert werden - wünsche weiterhin viel Erfolg und Glück

dorjak