Trojaner-Board - TROJANER:TR/dldr.Agent.SO.1 Wie bekomm ich den weg?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TROJANER:TR/dldr.Agent.SO.1 Wie bekomm ich den weg? (https://www.trojaner-board.de/30060-trojaner-tr-dldr-agent-so-1-bekomm-weg.html)

TROJANER:TR/dldr.Agent.SO.1 Wie bekomm ich den weg?

Bei jedem neustart meldet mir Anti.vir volgendes problem!

auf C/windows/system32/holdapi.dll ist ein trojaner namens
TR/dldr.Agent.SO.1
Ich kann ihn löschen oder zugriff verweigern aber beim neustart isser wieder da!
Auch mit spyboot kann ich den hund nicht wegbekommen.
Hat hier wer einen tip für mich??
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\rundll32.exe
D:\FIREFOX\FIREFOX.EXE
D:\remover.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Doberman\LOKALE~1\Temp\Rar$EX26.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: CIEPl Object - {DAD9C3A5-FB4E-45CD-93EB-2059F4EEF4D1} - C:\WINDOWS\system32\holdapi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{68C4C146-491C-40D2-BFE5-18DB6AC6F55C}: NameServer = 192.168.28.1
O20 - Winlogon Notify: holdapi - C:\WINDOWS\SYSTEM32\holdapi.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat:

Hat hier wer einen tip für mich??

ja, poste das komplette Logfile von HijackThis, es fehlt der gesamte Kopf! :party:

Ansonsten lass folgende Datei bei Virustotal auswerten:

Zitat:

C:\WINDOWS\SYSTEM32\holdapi.dll

Gruß
Daniel

Ok hier also der gesammte jack! Vielen dank!!

Logfile of HijackThis v1.99.1
Scan saved at 19:05:04, on 19.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
D:\FIREFOX\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Doberman\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: CIEPl Object - {DAD9C3A5-FB4E-45CD-93EB-2059F4EEF4D1} - C:\WINDOWS\system32\holdapi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{68C4C146-491C-40D2-BFE5-18DB6AC6F55C}: NameServer = 192.168.28.1
O20 - Winlogon Notify: holdapi - C:\WINDOWS\SYSTEM32\holdapi.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hast du die Datei:

Zitat:

C:\WINDOWS\SYSTEM32\holdapi.dll

schon auswerten lassen? Wenn nicht dann tu dies bitte noch...achja, und poste natürlich das Ergebnis! Einfach den gesamten Text markieren, kopieren, und in einen Beitrag schreiben..

Gruß
Daniel

Zitat:

Zitat von keoma65

Veraltet! Gibts nen Grund, warum du kein SP 2 drauf hast? Auch wenn du den Firefox Browser benutzen tust, der IE ist ins XP Integriert und sollte auch regelmäßig auf den neusten Stand gebracht werden!

Zitat:

Zitat von keoma65

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: CIEPl Object - {DAD9C3A5-FB4E-45CD-93EB-2059F4EEF4D1} - C:\WINDOWS\system32\holdapi.dll

Lasse die beiden Datein mal bitte hier oder hier auswerten und poste das Ergebnis!

Bitte Koriegiert mich jemand, wenn ich was falsches sage!
EDIT:
UPS: Da war ich wohl nicht nur Blind! Sorry

also beim scan mit virus total kam das heraus!!
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found

Ich verzweifle hier völlig!! Kann diese mist datei einfach nicht löschen.Einige virenkiller erkennen sie aber löschen lässt sie sich nicht!! Und der super pc experte bin ich auch nicht!!:headbang:

Also da die Online Auswertung ja Negativ war......solltest mal versuchen, das Teil im Abgesicherten Modus zu löschen!

Oder nimm mal Killbox oder Unlocker...vieleicht geht es damit!

Was kommt den für ne Meldung, wenn du die Datei Löschen willst?

Hallo,

schick die Datei vor dem löschen mal an diese beiden Adressen und warte eine Antwort ab.

virus@free-av.de

newvirus@kaspersky.com

Poste das Ergbnis dann hier.

Gruß

Schrulli

Mit killbox ging es nicht zu löschen aber mit unlocker!!!!Jetzt bin ich diesen dreck endlich los :-)
BESTEN DANK für eure hilfe!!!!!!!!

Zitat:

Zitat von keoma65

Mit killbox ging es nicht zu löschen aber mit unlocker!!!!Jetzt bin ich diesen dreck endlich los :-)
BESTEN DANK für eure hilfe!!!!!!!!

Es wäre evtl. wichtig gewesen wenn du diese Dateien zur weiteren Analyse an die Antivirenhersteller weitegeleitet hättest, wie oben beschrieben.

Es kann sich um einen neuen Schädling mit Backdoor-Funktionalität handeln.
Wenn ja, sehen wir uns sehr bald wieder.

mfg,
Markus

Das wollte ich auch machen aber ging nicht!!Ich konnte die datei lediglich löschen.Sobald ich sie anklickte kam virusmeldung.Konnte leider nichts anderes damit machen.Bin auch kein pc genie sorry :(

So, ich hab leider den selben virus wie er,

Ich hab schon versucht den virus zu löschen aber irgendwie ohne erfolg.

Ich hab mir jetzt mal diesen unlocker geladen um die datei zu löschen aber irgendwie schmiert dabei immer der computer ab. Es könnt sein das ich was falsch mache, deswegen könnte mir mal bitte jemand erlären was ich genau machen muss?^^