Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virenproblem (https://www.trojaner-board.de/9472-virenproblem.html)

weschi 11.11.2004 19:27
Virenproblem
 
Hallo,


Habe bei einem routine Scan mit e-Scan folgende Meldung erhalten:

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

File C:\WINDOWS\Drivers\iusb2\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\System Volume Information\_restore{408725F4-5156-4B41-A080-418E2B39F624}\RP315\A0033594.exe infected by "TrojanDownloader.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

ausserdem wurden 58 Total Errors angezeigt.

habe nun Versucht den TrojanDownloader.Win32.Agent.ec zu löschen. Das geht aber leider nicht. Ich bekomme beim Löschen den Hinweis, dass diese Datei verwendet wird und daher nicht gelöscht werden kann
Wie kann ich diesen löschen????

habe noch folgende Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 19:25:03, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Winamp\Winampa.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\T-Eumex\ISDN Guard\agfguard.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\bases\mwavscan.com
C:\bases\kavss.exe
D:\Programme\Winamp\Winamp.exe
D:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RealTray] D:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ISDN Guard.lnk = D:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mp3: D:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab


Dieser müsste meines Erachtens sauber sein.

Vielen Dank für die Hilfe...

Cidre 11.11.2004 19:31
Hallo,

Zitat:
Wie kann ich diesen löschen????
Lösche die Malware Dateien im abgesicherten Modus und deaktiviere die Systemwiederherstelllung, danach Neustart und aktiviere sie wieder.
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

weschi 12.11.2004 19:06
Hallo Cidre,

habe den Trojaner File D:\System Volume Information\_restore{408725F4-5156-4B41-A080-418E2B39F624}\RP315\A0033594.exe infected by "TrojanDownloader.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
so versucht zu löschen, wie du es beschrieben hast. Aber leider funktioniert das nicht.

Wenn ich meine Systemwiederherstellung auf allen Laufwerken
deaktiviere, kann ich im abgesicherten Modus unter System Volume Informationen keinen Eintrag finden. Sobald ich meine Systemwiederherstellung auf allen Laufwerken wieder aktiviere kann ich seltsamerweise auch den Trojaner löschen. Dieser ist aber beim nächsten Neustart wieder da. Dieses Löschen geht aber nur, wenn ich vorher die Systemwiederherstellung deaktiviert habe. Mache ich das nicht, lässt der Trojaner sich auch nicht löschen und ich bekomme den Hinweis, das eine andere Person oder Verzeichnis diesen gerade nutzt.

Weiss jetzt leider keine Möglichkeit mehr, was ich noch machen kann...

Hast du noch eine Idee, oder womöglich kannst du mir sagen was ich falsch mache...

Vielen Dank

Cidre 12.11.2004 19:47
Normalerweise werden bei der Deaktivierung der Systemwiederherstellung alle Wiederherstellungspunkte gelöscht, somit sollte auch der TrojanDownloader.Win32.Agent.ec gelöscht sein.

Was macht dich so sicher, dass der TrojanDownloader.Win32.Agent.ec noch immer existiert?


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131