Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Oh Man wat fieses eingefangen ! TR/Dldr.Agent.bc.12 (https://www.trojaner-board.de/19212-oh-man-wat-fieses-eingefangen-tr-dldr-agent-bc-12-a.html)

levko 23.06.2005 20:48
Oh Man wat fieses eingefangen ! TR/Dldr.Agent.bc.12
 
Hallo Jungs ich Habe mir wohl wat fieses eingefangen !


SYGATE Personal FIREWALL meldet das was versucht nach außen zu kommen !

Antivir Guard meldet

C:\WINDOWS\SYSTEM32\APPAI.DLL

Is the Trojan horse TR/Dldr.Agent.bc.12

Wichtig ist nicht die datei die angegriffen wurde sondern der virus bzw trojaner !

Weil der Greift sehr viele sachen !

Wie kann ich den los werden oder was genau ist das weil Antivir meldet alle 2 Min eine datei danke für eure schnelle antwort !

Vielen Dank

und mfg
levko!

chaosman 23.06.2005 20:49
@levko
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

levko 23.06.2005 21:07
Hier bitte guck mal bitte ob ich alles richtig gemacht habe !

Logfile of HijackThis v1.99.1
Scan saved at 22:04:54, on 23.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\addpt.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\addhj32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Steganos Safe 8\SAFE8.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\GS-Freak\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9125713D-ABCD-6F47-1A15-550E5B5622AF} - C:\WINDOWS\system32\appgn.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Dokumente und Einstellungen\GS-Freak\Disk_Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [syson32.exe] C:\WINDOWS\system32\syson32.exe
O4 - HKLM\..\Run: [addhj32.exe] C:\WINDOWS\system32\addhj32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SAFE8] "C:\Programme\Steganos Safe 8\SAFE8.exe" -boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addpt.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

chaosman 23.06.2005 21:14
@levko
mache mal folgendes
http://www.trojaner-info.de/anleitun...out_blank.html
http://www.derbilk.de/404.html

chaosman

levko 23.06.2005 21:24
Hmm habs ausprobiert bringt nix !

Ach ja beim win start kommt auch immer nen internet explorer fenster und manchmal wenn ich nen ordner öffne ist der komplett leer also zeigt nix an !


Mensch wat ich mir da wohl eingefangen habe ! :crazy: :crazy:

levko 23.06.2005 21:31
Also habe mal HIjacklog file automatisch auswerten lassen !

Und bei böse das sind glaub ich die files die infiziert sind !

C:\WINDOWS\addpt.exe (file missing)
O4 - HKLM\..\Run: [addhj32.exe] C:\WINDOWS\system32\addhj32.exe
O4 - HKLM\..\Run: [syson32.exe] C:\WINDOWS\system32\syson32.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart


und die sind böse

k.a was das ist ! sind noch einige die so ähnlich ausehen !

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135


Mensch ohh man wie mich dat aufregt nicht das bald alles infiziert ist aufm rechner !

chaosman 23.06.2005 21:33
@levko
lasse folgende dateien online überprüfen
C:\WINDOWS\addpt.exe
C:\WINDOWS\system32\syson32.exe
C:\WINDOWS\system32\addhj32.exe

http://virusscan.jotti.org/de/
oder bei http://www.malwareupload.com

poste die ergebnisse
chaosman

levko 23.06.2005 21:50
hmm komisch finde die datein garnicht mehr ob die gelöscht wurden ?

chaosman 23.06.2005 22:05
@levko
mache mal folgendes
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman

levko 23.06.2005 22:13
ne du hatte ich schon gemacht gehabt aber da ist nix antivir hat die glaub gelöscht !

chaosman 23.06.2005 22:19
@levko
scanne dein system zur sicherheit mal mit escan
chaosman

levko 24.06.2005 14:47
Also beim scannen kahm folgendes ergebnis
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "CoolWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "hsa Spyware/Adware" found in File System! Action Taken: No Action Taken.

.......................................................

Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.

Entry "HKCR\YBIOCtrl.CompanionBHO.4" refers to invalid object "{02478D38-C3F9-4efb-9B51-7695ECA05670}". Action Taken: No Action Taken.

File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken.

File C:\WINDOWS\system32\start.hta infected by "Trojan-Dropper.VBS.Small.d" Virus! Action Taken: No Action Taken.

File C:\DOKUME~1\GS-Freak\LOKALE~1\Temp\VVSNInst.exe tagged as "not-a-virus:AdWare.SaveNow.bo". Action Taken: No Action Taken.

File C:\DOKUME~1\GS-Freak\LOKALE~1\TEMPOR~1\Content.IE5\AFEVET2Z\wbk60.tmp infected by "Exploit.VBS.Phel.i" Virus! Action Taken:
No Action Taken.




da wo die Punkte sind kahm voll vieles mit ENtry bla bla das wäre jetzt zu viel um es hier rein zu kopieren !

Cidre 24.06.2005 22:34
Hallo levko,

das Ausführen der Find.bat hätte für uns mehr Informationsgehalt.

levko 25.06.2005 22:16
was soll das sein und wo finde ich es ?

levko 25.06.2005 22:49
Leutz

Ich habe alle meine daten auf externer festplatte gespeichert !

Und werde Xp neu druaf knallen !

Was sollte ich am besten für eine Antivirus Programm nutzen und welche firewall ??


Was nutzt ihr so nennt mir mal welche egal was die kosten !!


Aber nen 100% schutz gibbets eigentlich net oder ?


(Ach ja genutzt habe ich bis jetzt > AntiVIR und Sygate Personal Firewall!

Cidre 25.06.2005 23:21
Zitat:
Was sollte ich am besten für eine Antivirus Programm nutzen und welche firewall ??
Eine AV Anwendung spielt nur eine untergeordnete Rolle, sofern dein System entsprechend nach Anleitung abgesichert wurde. Wichtiger ist zukünftig dein eigenes Tun und Handeln, wie z.B. Surf-, Patch- und Downloadverhalten unter Kontrolle zu haben.
Als On-Acces-Scanner kannst du auch weiterhin AntiVir benutzen und als On-Demand-Scanner wäre eScan eine Empfehlung. Auf eine PFW kannst/solltest du gänzlich verzichten.

Sieh dir in diesem Zusammenhang die Folien und den Vortrag an -> (Un)Sicheres Windows am Heim-PC - Vortrag von Volker Birk (CCC ERFA Ulm)

Gnmpf 25.06.2005 23:59
Donwload und update About:buster
www.malwarebytes.biz/AboutBuster5.zip
Noch nicht laufen lassen.

Download danach beende Deine Internetverbindung:
http://cwshredder.net/bin/CWShredder.exe
Starte in den abgesicherten Modus
Run CWS shredder

Starte HijackThis und mach einen Haken bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\flcaz.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {9125713D-ABCD-6F47-1A15-550E5B5622AF} - C:\WINDOWS\system32\appgn.dll (file missing)
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [syson32.exe] C:\WINDOWS\system32\syson32.exe
O4 - HKLM\..\Run: [addhj32.exe] C:\WINDOWS\system32\addhj32.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\addpt.exe (file missing)
Schliesse alle Fenster und klicke Fix.

Nun lass About:Buster laufen.

Danach weiteim abgesicherten modus.
Start/programme/zubehör/Systemprogramme -> Datenträgerbereinigung: Temporäre Internet dateien und Temp ordner
Lösche folgende Dateien, sofern noch vorhanden:
C:\WINDOWS\system32\syson32.exe
C:\WINDOWS\system32\addhj32.exe
C:\WINDOWS\addpt.exe
C:\WINDOWS\system32\start.hta
Neustart

Download Adaware SE vom www.lavasoft.com und "perform a full sysem scan"
Download http://lineofire.geekstogo.com/cwsserviceremove.zip und unzippe das regfile auf Deinem Desktop. Doppelklicke die Datei und bestätige den Hinweis.

Poste ein neues Log

Edit: O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
ist natürlich nicht schlecht.
ToDadimon ist die Autoconnect software Deiner T-onlinesoftware.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19