"TR/Dldr.Agent.aii.51" sucks^^
 

Hallo!

Ich, als absoluter IT-Noob bin heilfroh, dieses Forum gefunden zu haben.
Hab mir heute - vermutlich beim Herunterladen eines PDF-Dokuments -den, von Antivir diagnostizierten, Trojaner 'TR/Dldr.Agent.aii.51' eingefangen.

Bis jetzt hat er folgende Dateien (in chronologischer Reihenfolge) befallen:
14:08 Uhr:
- C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe,
20:45 Uhr:
- C:\System Volume Information\_restore{5C324475-6807-4304-BD5E-352EFA
6FE8DA}\RP46\A0007626.exe.

Zwischen beiden Zeitpunkten war der Rechner heruntergefahren. Das Ergebnis von 20:45 Uhr entstammt einem von mir selbst durchgeführten Scan, während Antivir um 14:08 Uhr "unaufgefordert" Alarm geschlagen hat. Hab den Befehl 'Löschen' ausgeführt. Zum Ergebnis siehe 20:45 Uhr. Nach dem Herunterladen diverser Virenscanner, wie SPYWAREfighter, Spyware Doctor oder Spybot - die alle nix detektiert haben - bin ich auf dieses Forum gestoßen.

HighjackThis hat Folgendes ergeben:

Logfile of HijackThis v1.99.1
Scan saved at 22:51:33, on 12.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Versatel Einwahl.LNK = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E920F96-E4B3-4059-8EC2-697F8CFFFD43}: NameServer = 82.144.41.8 62.220.18.8
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe

So, jetzt hoff ich mal, dass mir jemand helfen kann. Hab wenig Lust auf ne Formatierung, weil das Neuinstallieren wahrscheinlich eh nix wird => IT-Noob.

krawalle

Diesen musst Du Fixen:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Scan anschliessend Dein System (e-scan), Anleitung hier:
h**p://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html

Diese Dateien überprüfe bei : h**p://www.virustotal.com/en/indexf.html
C:\Dokumente und Einstellungen\All Users\Dokumente\setup.exe
C:\System Volume Information\_restore{5C324475-6807-4304-BD5E-352EFA6FE8DA}\RP46\A0007626.exe.

Zuviele Antispyprogs halte ich im übrigen nicht für sinnvoll, eines sollte ausreichen.

Hallo Mobius07,
vielen Dank für Deine Hilfe! Offensichtlich hat Antivir das Problem um 20:45 Uhr in den Griff bekommen. Hab aber, um sicher zu gehn, den Online-Check mithilfe eines versierten Freundes durchgeführt. Im Ergebnis ist schließlich alles i.O.. ... Versuche aber weiterhin ein Auge drauf zu haben.
Vielen Dank nochmal!
Krwlle

P.S.: Hab, wie empfohlen, einen Großteil der "spydetektoren" gelöscht und verlass mich für die Zukunft erstmal auf Antivir ... hat ja schließlich seinen Job getan!

"TR/Dldr.Agent.aii.51" Auf Thema antworten :snyper:

Hallo Mobius07,
vielen Dank für Deine Hilfe! Offensichtlich hat Antivir das Problem um 20:45 Uhr in den Griff bekommen. Hab aber, um sicher zu gehn, den Online-Check mithilfe eines versierten Freundes durchgeführt. Im Ergebnis ist schließlich alles i.O.. ... Versuche aber weiterhin ein Auge drauf zu haben.
Vielen Dank nochmal!
Krwlle

P.S.: Hab, wie empfohlen, einen Großteil der "spydetektoren" gelöscht und verlass mich für die Zukunft erstmal auf Antivir ... hat ja schließlich seinen Job getan!

"TR/Dldr.Agent.aii.51" :snyper: