Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner: Downloader.Agent.AS

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.11.2004, 19:10   #1
flossen
 
Trojaner: Downloader.Agent.AS - Rotes Gesicht

Trojaner: Downloader.Agent.AS



Mein Virenscanner (AVG) meldet, dass ich den Trojaner: Downloader.Agent.AS eingefangen habe. AVG kann ihn nicht entfernen, der Trojaner schreibt Ordner mit Namen wie THI5D3E.tmp oder THI2FB4.tmp in den Temp-Ordner meiner Lokalen Einstellungen (ich habe Windows 2000), scheint aber in der Registry zu nisten.
Wer kennt Abhilfe?

flossen

Alt 29.11.2004, 19:13   #2
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hi,
die temp Dateien löschen wir später. Jetzt poste bitte erst mal ein HJT-Logfile, erstellt mit HiJackThis hier rein.
__________________

__________________

Alt 29.11.2004, 20:30   #3
flossen
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



hallo cacatoa,
hat bisschchen gedauert, bin kein profi.
hier das logfile von hijyckthis:

Logfile of HijackThis v1.98.2
Scan saved at 20:25:21, on 29.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SIPPS\SIPPS.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\eAmed\DaSi\PAListen.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINNT\System32\locator.exe
C:\Programme\SIPPS\AddOn.bin
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\eAmed\PAbin\PAViewer.exe
C:\WINNT\system32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\HijackThis.exe

O2 - BHO: HostDllObj Class - {00000273-8230-4DD4-BE4F-6889D1E74167} - C:\WINNT\host.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe
O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {10000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...cab?id=9773654
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/synerg...stemchecks.cab
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...6/payload2.cab
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1106.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCFEC53-0589-4130-AF66-F2304A048B95}: NameServer = 192.168.2.1

Wäre toll, wenn du das löst.

flossen
__________________

Alt 29.11.2004, 21:24   #4
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hi, kennst Du die folgenden:

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O16 - DPF: {10000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com....cab?id=9773654
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/syner...ystemchecks.cab
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...06/payload2.cab
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1106.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe

Teile mit, was Dir bekannt/gewollt ist.

Das folgende in jedem Fall fixen (nach dem scan mit HJT, im abgesicherten Modus bei dem von mir genannten Punkt ein Häkchen machen und unten auf "Fix checked" clicken):
O2 - BHO: HostDllObj Class - {00000273-8230-4DD4-BE4F-6889D1E74167} - C:\WINNT\host.dll
anschließend die Datei: C:\WINNT\host.dll manuell löschen.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 30.11.2004, 13:27   #5
flossen
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hallo cacatoa,

folgendes ist mir bekannt und gewollt:

O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1106.cab

O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe

O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe

Der Rest kann weg. Wie?
Danke!
flossen


Alt 30.11.2004, 13:47   #6
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Der Rest kann so weg, wie ich es Dir in meinem letzten Post beschrieben habe. Dann bitte neues Logfile reinstellen.
__________________
--> Trojaner: Downloader.Agent.AS

Alt 30.11.2004, 17:48   #7
flossen
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hallo,

ich bin deinen Anweisungen gefolgt - und der Trojaner ist wohl weg, beim Virenscan keine Fehlermeldung mehr. Die Datei C\WINNT\host.dll konnte ich allerdings nicht löschen, weil sie gar nicht existierte.

Hier das aktuelle logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:41:58, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SIPPS\SIPPS.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\eAmed\DaSi\PAListen.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINNT\System32\locator.exe
C:\Programme\SIPPS\AddOn.bin
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O4 - Global Startup: Trojan Guarder.lnk = C:\Programme\Trojan Guarder\Trojan Guarder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/synerg...stemchecks.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCFEC53-0589-4130-AF66-F2304A048B95}: NameServer = 192.168.2.1

VIELEN DANK!!!

flossen

p.s. ich schau wieder rein; kann ich dich "höherbewerten"?

Alt 30.11.2004, 18:19   #8
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



HI,
irgendwie gefällt mir das nicht.
Wo hast Du Dir den "TrojanGuarder" runtergeladen? (ZdNet?)
Hast Du eingestellt: "Alle Dateien und Ordner anzeigen" und Häkchen weggemacht bei "Geschützte Systemdateien ausblenden"?

Folgendes muß noch weg:
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/syner...ystemchecks.cab
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Die Dateien:
C:\PROGRA~1\MI3AA1~1\INetRepl.dll
C:\WINNT\web\related.htm

dann manuell löschen.

Warum der TrojanGuard von HJT als böse eingestuft wird, muß ichnoch überprüfen.
__________________
Der Mensch sollte eine Hundeseele haben

Alt 30.11.2004, 21:25   #9
flossen
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hallo cacatoa:

ich hab nun die erwähnten Sachen raus, neues Lofile siehst du gleich hier.
Die beiden Dateien
C:\PROGRA~1\MI3AA1~1\INetRepl.dll und
C:\WINNT\web\related.htm"
habe ich gelöscht.
Die Ordnereinstellungen und Häkchen sind bei mir so wie du es angibst.
Auf den "Trojan Guarder" stieß ich beim Stöbern hier im Trojaner-board, ein Autor pries ihn als gut; ich suchte ihn glaub ich über google; wo ich ihn runtergeladen hab, weiß ich nicht mehr. Es ist eine Versuchs-Version zum Testen, nicht bezahlt, konnte den Trojaner auch nicht wegschaffen. Dann hab ich hier zu schreiben begonnen.

hier nun das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:16:17, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SIPPS\SIPPS.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\eAmed\DaSi\PAListen.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINNT\System32\locator.exe
C:\Programme\SIPPS\AddOn.bin
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O4 - Global Startup: Trojan Guarder.lnk = C:\Programme\Trojan Guarder\Trojan Guarder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCFEC53-0589-4130-AF66-F2304A048B95}: NameServer = 192.168.2.1

Bin gespannt!

Alt 30.11.2004, 21:34   #10
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hi, was ist mit dem:
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
WEnn bekannt, dann o.k.

Die beiden sind noch drauf, aber nicht böse, kannst fixen, weil unnötig:
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)

Der Trojan Guard wird als böse erkannt, ich kann ihn nicht beurteilen. DAs sagt die Auswertung:
Zum eingegebenen Programm 'Trojan Guarder.lnk (Trojan Guarder.exe)' haben wir folgendes Programm gefunden: 'Zen.A ((path to trojan))'. Trefferquote: 22 % (Resultate) Unbedingt fixen!
Frag mal Tante google.
Sonst sehe ich nichts auffälliges.
Aufgrund deines Posts schlage ich Dir vor, einen eScan (mwav.com runterladen, in einen von Dir erstellten Ordner C:\bases (wichtig) zu entpacken, upzudaten (kavupd.exe) und laufen zu lassen (mwav.com))
durchzuführen. Poste das Ergebnis bitte rein.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 30.11.2004, 22:20   #11
flossen
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hallo.

1. Habe escan besorgt und laufen lassen, hier das Ergebnis:


Tue Nov 30 22:10:22 2004 => Options Selected by User:
Tue Nov 30 22:10:22 2004 => Memory Check: Enabled
Tue Nov 30 22:10:22 2004 => Registry Check: Enabled
Tue Nov 30 22:10:22 2004 => StartUp Folder Check: Enabled
Tue Nov 30 22:10:22 2004 => System Folder Check: Enabled
Tue Nov 30 22:10:22 2004 => System Area Check: Disabled
Tue Nov 30 22:10:22 2004 => Services Check: Enabled
Tue Nov 30 22:10:22 2004 => Drive Check Option Disabled
Tue Nov 30 22:10:22 2004 => Scanning Type: Scan And Clean
Tue Nov 30 22:10:22 2004 => Folder Check: Disabled

...
... (hab ich gelöscht, ppasst nicht alles hier rein) ...
...

Tue Nov 30 22:10:30 2004 => Total Number of Files Scanned: 200
Tue Nov 30 22:10:30 2004 => Total Number of Virus(es) Found: 0
Tue Nov 30 22:10:30 2004 => Total Number of Disinfected Files: 0
Tue Nov 30 22:10:30 2004 => Total Number of Files Renamed: 0
Tue Nov 30 22:10:30 2004 => Total Number of Deleted Files: 0
Tue Nov 30 22:10:30 2004 => Total Number of Errors: 0
Tue Nov 30 22:10:30 2004 => Time Elapsed: 00:00:07
Tue Nov 30 22:10:30 2004 => Virus Database Date: 2004/11/30
Tue Nov 30 22:10:30 2004 => Virus Database Count: 111060

Tue Nov 30 22:10:30 2004 => Scan Completed.

(Warum hat er nur 200 files gescannt?)

2. AGFEO ist Teil meiner Telefonanlage (wenn einer anruft, poppt die Telefonnummer auf meinem Bildschirm auf)

3. wenn ich
"O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)"
fixe, dann komm ich nicht mehr ins Internet! Ich musste das dann backupen.

Alt 30.11.2004, 22:23   #12
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hast Du bei dem eScan alle Häkchen gesetzt, vor allem scan all local drives? Wahrscheinlich nicht. Probiers nochmal.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 30.11.2004, 23:20   #13
flossen
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hallo,
jetz ists gesannt.

folgende Meldungen:
Tue Nov 30 23:16:32 2004 => Total Number of Files Scanned: 68866
Tue Nov 30 23:16:32 2004 => Total Number of Virus(es) Found: 2
Tue Nov 30 23:16:32 2004 => Total Number of Disinfected Files: 0
Tue Nov 30 23:16:32 2004 => Total Number of Files Renamed: 0
Tue Nov 30 23:16:32 2004 => Total Number of Deleted Files: 0
Tue Nov 30 23:16:32 2004 => Total Number of Errors: 1
Tue Nov 30 23:16:32 2004 => Time Elapsed: 00:33:53
Tue Nov 30 23:16:32 2004 => Virus Database Date: 2004/11/30
Tue Nov 30 23:16:32 2004 => Virus Database Count: 111060

Tue Nov 30 23:16:32 2004 => Scan Completed.

File C:\bases\randreco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.
File C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\backups\backup-20041130-152038-371.dll tagged as not-a-virus:AdWare.BiSpy.m. No Action Taken.

Alt 01.12.2004, 20:33   #14
cacatoa
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



Hi,
was macht der: randreco.exe im Verzeichnis C:\bases?
Lösche im abgesicherten Modus die beiden:
C:\bases\randreco.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\backups\backup-20041130-152038-371.dll

Lade dir AdAware SE mit Sprachdateien herunter, update es und lass es laufen. Lösche alles, was es findet; auch den Quarantäne-Ordner.
Ebenso runterladen: Spybot S& D 1.3 und laufen lassen.
Berichte über die Ergebnisse.

cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 01.12.2004, 21:20   #15
Shadowdance
 
Trojaner: Downloader.Agent.AS - Standard

Trojaner: Downloader.Agent.AS



@ flossen

lies Dir die Anleitung zum eScan noch mal ganz genau durch, mache was dort steht und scanne Dein System dann nochmal.

SD

Antwort

Themen zu Trojaner: Downloader.Agent.AS
abhilfe, avg, eingefangen, einstellungen, entferne, entfernen, gefangen, lokale, lokalen, melde, meldet, namen, ordner, registry, scan, scanner, schei, temp-ordner, troja, trojaner, virenscan, virenscanner, windows



Ähnliche Themen: Trojaner: Downloader.Agent.AS


  1. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  2. Trojaner-Downloader.Win32.Agent.daow
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (3)
  3. Trojaner.Downloader.Agent.AAJI (was kann ich machen?)
    Log-Analyse und Auswertung - 22.04.2009 (17)
  4. Trojaner entfernen (TR/Downloader.Gen, TR/Agent.job)
    Log-Analyse und Auswertung - 28.12.2008 (12)
  5. Trojaner Downloader.Win32.Agent variant.
    Mülltonne - 09.11.2008 (0)
  6. Trojaner Downloader.Win32.Agent variant gefunden
    Mülltonne - 30.10.2008 (0)
  7. Trojan-Downloader.JS.Agent.cnn
    Mülltonne - 26.08.2008 (0)
  8. Trojaner-downloader.win32.agent variant
    Plagegeister aller Art und deren Bekämpfung - 01.07.2008 (1)
  9. JS/Psyme.QM und JS/Downloader.agent
    Plagegeister aller Art und deren Bekämpfung - 16.03.2008 (7)
  10. Was tun beim Trojaner JS/Downloader.Agent?
    Plagegeister aller Art und deren Bekämpfung - 08.11.2007 (5)
  11. trojan downloader agent yfz
    Log-Analyse und Auswertung - 05.11.2007 (23)
  12. JS/Downloader.Agent
    Plagegeister aller Art und deren Bekämpfung - 31.10.2007 (0)
  13. Hilfe - Trojaner-Downloader.Win32.Agent variant auf dem sys
    Log-Analyse und Auswertung - 30.10.2007 (1)
  14. Downloader.Agent.uj
    Log-Analyse und Auswertung - 31.07.2006 (3)
  15. Win32.agent Trojaner downloader!
    Log-Analyse und Auswertung - 19.02.2006 (2)
  16. Trojan Downloader.Win 32 Agent.br
    Plagegeister aller Art und deren Bekämpfung - 04.10.2004 (2)
  17. trojaner downloader win 32.Agent.an
    Plagegeister aller Art und deren Bekämpfung - 28.06.2004 (2)

Zum Thema Trojaner: Downloader.Agent.AS - Mein Virenscanner (AVG) meldet, dass ich den Trojaner: Downloader.Agent.AS eingefangen habe. AVG kann ihn nicht entfernen, der Trojaner schreibt Ordner mit Namen wie THI5D3E.tmp oder THI2FB4.tmp in den Temp-Ordner meiner - Trojaner: Downloader.Agent.AS...
Archiv
Du betrachtest: Trojaner: Downloader.Agent.AS auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.