|
Trojan-Dropper.Win32.Agent.dw Hallo Ihr Lieben alle! Einige werden sich sicher noch an meinen Nick erinnern...war lange nicht hier- das heißt- ich hatte auch lange Ruhe- und nun das: Trojan-Dropper.Win32.Agent.dw Hatte eine angebliche Rechnung der Telekom versucht zu öffnen, die eine horrende Rechnung von über 300 Euro auswies. Habe Mail samt Anlage heruntergeladen und erstmal gespeichert- dann brav und artig mit antiVir gescannt- und dem fiel mal gar nichts auf. Also hab ich auch versucht sie zu öffnen. Mit dem acrobat ging es nicht wirklich...Datei sei unbekannt... dann hab ich sie mit dem Editor geöffnet- und las etwas von wegen PDF.exe... als kleine virengeschädigte maus dachte ich mir...hmmm...Kaspersky-online Scan....und der fand dann in beiden Dateien- sowohl der mail als auch in der anlage genau den vorgenannten. hab schon mit Hilfe von Google und Co festgestellt, daß offenbar dieser virus recht neu ist (so ein- 3 Tage alt....)- und daß noch niemand so richtig weiß, was er macht und wie man ihn wegkriegt. Nun hab ich ja vor einigen monaten hier schon eine ganze Menge gelernt- und hatte ja auch einige nützliche Links gespeichert- die ich dann alle verloren habe, als ich letzten endes meine Platte geputzt und neu aufgespielt habe. Kann mir mal jemand einen rat geben, was ich nun am besten tun sollte? Liebe Grüße, Euer dämliches schneeflöckchen 37 |
Ach ja- sorry- ich vergass: Windows XP home, SP2 so lautet das Betriebssystem.... :headbang: |
@schneeflocke37 das ist den hier http://www.sophos.com/virusinfo/anal...ojagentdw.html der hört sich gar nicht gut an, The Trojan opens multiple SMTP connections to IP addresses chosen at random within a 24-bit netmask specified by the author. verbreitungsweg ich würde gerne die meinung von andere TBoardies lesen, chaosman |
Tja, lieber chaosmann...und genau diese ekeligen infos habe ich auch schon gefunden. Habe vorhin mein adaware und spybot aktualisiert und die von dort empfohlenen Dinge schon mal gelöscht.... Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen. (die alte läft leider nicht mehr, teilt er mir mit....shit...) Nun ist guter Rat teuer- und ich hoffe, daß noch jemandem etwas einfällt.... (das ausgerechnet mir das passieren muss, es ärgert mich doch sehr- denn nach meiner letzten Riesenaktion war ich echt supervorsichtig....aber der abesender war ja tatsächlich mt dem original der telekom ausgestattet- und da AntiVir nix angezeigt hatte....da ich die Telefonrechnung online erhalte, hätte es durchaus sein können.... :heulen: ) Das schneeflöckchen, dem es schon wieder vorm Neuaufsetzen graut (und das ganz böse auf sich selbst ist........... :koch: ) |
@schneeflocke37 Das schneeflöckchen, dem es schon wieder vorm Neuaufsetzen graut falls du neuaufsetzen möchtest http://www.trojaner-board.de/showpos...28&postcount=2 Die Version von escan, die ich noch auf dem PC hatte lässt sich leider nicht mehr vernünftig updaten.....sonst hätte ich den vielleicht auch schon laufen lassen. (die alte läft leider nicht mehr, teilt er mir mit....shit...) der alte version löschte die gefundene sachen, bei der neue version muss man selber hand anlegen(abgesicherte modus, manuell löschen) chaosman |
Zitat:
btw: Ich kann es nicht vestehen, wie man immer wieder auf diese Masche reinfallen kann! Info: z.B. http://www.heise.de/newsticker/meldung/55183 Zitat:
Zitat:
|
Ach chaosschatzel....nein ich möchte gar nicht neu aufsetzen..... Ich dachte...schelmisch guck...da es eine ganz neue geschichte ist, beschäftige ich mal wieder dieses forum, wo ich doch brav und artig 3 Monate problemlos und lieb geblieben bin...augenzwinker.... Ich hab da mal ein hijack gemacht...völlig harmlos, wie ich denke..... (wenn sich das ding allerdings hinter svhost tarnt, dann kann ja nix gefunden werden:) Logfile of HijackThis v1.99.0 Scan saved at 22:58:56, on 18.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\Explorer.EXE C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE C:\WINDOWS\system32\winlogon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Andrea\LOKALE~1\Temp\Rar$EX00.103\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxtp://www.gedankenstern.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\PROGRA~1\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8C897192-9867-4F1A-8F98-EA7A0B0B89B7}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE Also bitte nicht wieder aufgeben...und wer helfen kann, der möge helfen.... (zum escan: er öffnet sich gar nicht erst.....auch nicht im nicht abgesicherten modus....) |
Sorry, aber bitte neuaufsetzen und bei dem funktionierenden und nicht kompromittiertem System ein Backup machen!!! Das ist gar nicht so schwer. Dann kann man nämlich einfach bei einem dummen Fehler (was immer mal wieder vorkommt) einfach das Backup einspielen. Ich verstehe immer noch nicht.warum man solche Attachements öffnet - ein aktueller KAV hätte doch eh alle Probleme abgefangen ... Na ja ... Gruss! MyThinkTank |
@Cidre Ja, ja, schimpf ruhig mit mir....ich ärgere mich doch schon selbst genug- hab aber Rechnung online per Mail erst vorgestern aktiviert- und wußte es somit nicht besser.... Ein Image? Du meinst so ein ding von dem System wie es direkt nach dem letzten Aufsetzen war? Hmmmm- ich bin ziemlich blöond, kann schon ne Menge und war froh, daß ich das System wieder laufen hatte und alles recht reibungslos nach gut 4 Tagen geklappt hatte.... Habe auch die ganzen Erfahrungen des letzten Crashs mit hineingepackt in mein verhalten: surfen nur noch mit Mozilla, eingeschränktes Nutzerkonto- alle microsoftupdates automatisch runtergeladen (damit ich bloss keines versäume), XP Firewall eingeschaltet und keine zusätzliche installiert und ausserdem beim Surfen echt noch Brain 2.0 eingeschaltet- aber- die Cracks, die diese Trojaner versenden sind echt schlau...nicht mehr Kopf schütteln...hast Du noch ne andere Idee als Neuaufsetzen? Die Sache mit dem escan klappt nicht wirklich....die MWAV.exe lässt sich erst gar nicht ausführen unter dem Hinweis auf die virus database, die älter als 30 Tage ist.....hab ich gerade nochmal versucht....bringt also nicht mehr wirklich was.... |
@MyThinkTank und Cidre: Könnt Ihr mir dann mal bitte verraten, wie ich ein Backup vom frischen System mache? (Habe nen CD-Brenner und ein Disketten-Laufwerk drin- komme ich damit weiter?) (Ich höre Euch schon bis hierher stöhnen.......) :heulen: |
Hallo! Guckst Du bitte hier: Link: http://www.pctipp.ch/downloads/dl/25735.asp und hier: http://www.partition-saving.com/ Wichtig ist dabei, dass Du eine Partition bzw. ein logisches Laufwerk als FAT32 formatierst, damit Du unter DOS auch an das Backup herankommst. Oder auf CDs/DVDs ausweichen! Gruss! MTT |
Zitat:
Zitat:
z.B. Acronis -> http://www.pc-erfahrung.de/Index.htm...ttenImage.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board