Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/dldr.agent.gs ??? (https://www.trojaner-board.de/11628-tr-dldr-agent-gs.html)

donet1 04.01.2005 08:59
TR/dldr.agent.gs ???
 
Hallo,
ich habe den o.g. Trojaner eingefangen, der sich auch mir AntiVir nicht entfernen lässt. Kann mir jemand bitte weiterhelfen ? Das Ding ist wirklich nervtötend :heulen:
Hier das Logfile von Hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 08:56:05, on 04.01.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\LTSMMSG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\ALI51SND.EXE
C:\PROGRAMME\CANON\CANON FAX\MONITR32.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\AVMCLIENT\BLUEFRITZ.EXE
C:\PROGRAMME\AVMCLIENT\AVMBTSERVICE.EXE
C:\PROGRAMME\AVMCLIENT\PANAPP.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\TEMP\60B1.TMP.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\FRITZ!\FRIWEB32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\FXREDIR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\OUTLOOK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\WINWORD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\EMULE.DE\EMULE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\WINDOWS\DESKTOP\HIJACK THIS\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von STRATO
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {10124E2B-C235-B52C-4D84-90AC202AEAC7} - C:\WINDOWS\APPWD32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ALi51Snd] ALi51Snd.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [MP_STATUS_MONITOR] "C:\Programme\Canon\Canon FAX\monitr32.exe" I
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MMHID] rundll32 mmhid.dll,StartMmHid
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBlueService] C:\Programme\avmclient\avmbtservice.exe -debug
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmclient\panapp.exe -debug
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab


Die Zeilen:
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
erscheinen auch nach dem automatischen fixen bei hijackthis.de wieder.
Danke für Eure Hilfe !

chaosman 04.01.2005 10:36
@donet1
immer hilfreich wäre es, wenn du der pafdangabe gemacht hättest.
lade dir escan
download
lese der anleitung, mache es genauso wie beschrieben wird
teile uns das gesamte (!) Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

donet1 04.01.2005 11:05
@chaosman:
danke für die Hilfe! Lade gerade escan runter.
Als Fehlermeldungen hat mein AVGuard folgendes gezeigt:

C\Windows\System\SysB.exe
enthält Code des Virus "TR/Dldr.agent.al"

C:Windows\MFCI32.exe
enthält Code des Virus "TR/Dldr.agent.gs"

Hilft das weiter?

chaosman 04.01.2005 11:12
@donet1
um die trusted zones weg zu bekommen, mache das hier
http://www.trojaner-board.de/showthr...9&page=4&pp=10
poste danach die escan ergebnisse wie gepostet
chaosman

donet1 04.01.2005 15:11
nach dem escan wurde folgendes Ergebnis angezeigt. Wie bekomme ich die Dinger nun weg?

File C:\WINDOWS\APPWD32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\appwd32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP.exe infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\60B1.TMP.exe infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Desktop\web to date design pack\CdaLMS.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\Desktop\HiJack This\backups\backup-20050104-083924-148.dll infected by "not-a-virus:AdWare.WinAD.j" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\appwd32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\m00.exe infected by "Trojan-Downloader.Win32.WinShow.ar" Virus. Action Taken: No Action Taken.

Cidre 04.01.2005 18:43
Indem du zu den betreffenden Dateien navigierst und sie dann manuell löschst.

Alternativ:
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zu den Ordnern bzw. Dateien und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131