|
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.CBWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.11.2004, 10:47 | #1 |
| TR/Dldr.Agent.CB edit: + TR/Small.GS.2 virenscanner hat TR/Dldr.Agent.CB gefunden. hab im forum bisschen rumgelesen und festgestellt, dass ich erstmal www.windowsupdate.com besuchen sollte (SP2 saugen und IE updaten) hier mal das log: Logfile of HijackThis v1.98.2 Scan saved at 15:27:41, on 06.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Winamp\Winamp.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Nina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Dokumente und Einstellungen\Nina\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab Geändert von wedontknow (07.11.2004 um 17:37 Uhr) |
07.11.2004, 11:06 | #2 |
| TR/Dldr.Agent.CB Wo wurde der Downloader denn entdeckt? Ich tippe mal auf die temporären Internetdateien. Mit www.clearprog.de mal die temporären Dateien säubern, das Log sieht abgesehen von den fehlenden Patches eigentlich sauber aus. Zur Kontrolle kannst du mal noch E-Scan verwenden.
__________________http://www.trojaner-board.de/42731-escan-anleitung.html |
07.11.2004, 11:15 | #3 |
| TR/Dldr.Agent.CB ok danke ich geh gleich mal drueber
__________________ |
07.11.2004, 11:31 | #4 |
| TR/Dldr.Agent.CB ah was ich fragen wollte noch. wie sieht das mit passwoertern und so aus. was spioniert dieser trojaner denn aus und spioniert er ueberhaupt? muss man jetzt alle passes aendern und um private dinge am rechner fuerchten?? wo kann man sich eigentlich so ein ding holen.... |
07.11.2004, 11:52 | #5 |
| TR/Dldr.Agent.CB Wie schon gesagt, es handelt es sich hier nicht wirklich um einen aktiven Trojaner, sondern um ein Programm, dass einen solchen aus dem Netz unbemerkt von dir herunterladen KANN, aber eventuell auch "nur" Adware, was eher ärgerlich als direkt gefährlich ist. Ohne nähere Informationen über den Pfad, in dem er gefunden wurde, kann ich aber nicht mehr sagen. In deinem Log ist kein aktiver Trojaner zu entdecken. Solche Downloader stecken gern in aktiven Skripten von Warez oder Pornoseiten, daher ist es immer ratsam, diese Sachen beim IE zu deaktivieren oder sehr restriktiv damit umzugehen bzw. lieber einen alternativen Browser wie opera oder firefox zu verwenden, wo die Konfiguration dieser Dinge einfacher ist und manches wie Active-X gar nicht existiert. |
07.11.2004, 17:36 | #6 |
| TR/Dldr.Agent.CB so hab noch nen trojaner gefunden, und ein neues log mit der neusten version von HijackThis gemacht zusaetzlich aus der log datei von anti vir die 2 locations der trojaner: C:\ w32_API.cab ArchiveType: CAB (Microsoft) --> hermes.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.CB C:\Dokumente und Einstellungen\Nina\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U9ZGX8FE fr03tp[1].cab ArchiveType: CAB (Microsoft) --> ATPartners.dll [FUND!] Ist das Trojanische Pferd TR/Small.GS.2 Logfile of HijackThis v1.98.2 Scan saved at 17:38:34, on 07.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\PopCap Games\Zuma Deluxe\Zuma.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Nina\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099838538375 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab |
08.11.2004, 22:32 | #7 |
Gast | TR/Dldr.Agent.CB Leere Temp- und Temp.-Internet-Files-Ordner, dann bist du das Teilchen los. |
Themen zu TR/Dldr.Agent.CB |
avg, button, dll, einstellungen, excel, explorer, festgestellt, forum, hijack, hijackthis, internet, internet explorer, log, messenger, microsoft, nvcpl.dll, office, programme, rundll, scan, software, spoolsv.exe, system, system32, temp, windows xp |