Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Merkwürdiger Trojaner :D (tr/dldr.agent.cb)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.02.2005, 18:14   #1
belenus
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



Als ich heute ins Irc (quakenet) connecten wollte kam der Fehler "you are infected with a trojan, please clean your pc (id: 304)." . Also erstmal Antivir über die Systemplatte laufen lassen und auch promt den tr/dldr.agent.cb gefunden, konnte aber nicht beseitigt werden. Also ab in den abgesicherten Modus und die Datei c:\w32_API.cab wo der Trojaner festgestellt wurde gelöscht mit dem Programm Killbox. Antivir findet nun keinen Trojaner mehr aber der Fehler beim connecten ins IRC kommt dennoch :/

Hijacklog:

Logfile of HijackThis v1.97.7
Scan saved at 18:02:35, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Winamp\winampa.exe
D:\Program Files\D-Tools\daemon.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\PTBSync\PTBSync.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\program files\powerstrip\pstrip.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Motherboard Monitor 5\MBM5.exe
F:\Stuff\IBM\DTemp.exe
D:\Program Files\SpywareGuard\sgmain.exe
D:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\ICQ\Icq.exe
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.overclockers.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://media27.fastclick.net/w/safep...29&nfcp=1&fp=2
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - Startup: Shortcut to DTemp.exe.lnk = F:\Stuff\IBM\DTemp.exe
O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: MBM 5.lnk = C:\Program Files\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{508031DE-A183-4EBA-AF51-35323FBED0DF}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3191171-7E1A-41C1-B9AA-4AB34B0C639B}: NameServer = 192.168.0.245



Weiss keinen Rat mehr Achso und falls mich jemand aufklären könnte was der tr/dldr.agent.cb überhaupt macht wär ich glücklich *g*

Alt 03.02.2005, 18:16   #2
HerrKautz
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



Poste ein neues Log von der Version :

http://hijackthis.de/downloads/hijackthis_199.zip
__________________


Alt 03.02.2005, 18:22   #3
belenus
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



Hijack log von der neuen? Version:

Logfile of HijackThis v1.99.0
Scan saved at 18:21:18, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Winamp\winampa.exe
D:\Program Files\D-Tools\daemon.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\PTBSync\PTBSync.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\program files\powerstrip\pstrip.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Motherboard Monitor 5\MBM5.exe
F:\Stuff\IBM\DTemp.exe
D:\Program Files\SpywareGuard\sgmain.exe
D:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\ICQ\Icq.exe
C:\Program Files\AVPersonal\AVWIN.EXE
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.overclockers.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://media27.fastclick.net/w/safep...29&nfcp=1&fp=2
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - Startup: Shortcut to DTemp.exe.lnk = F:\Stuff\IBM\DTemp.exe
O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: MBM 5.lnk = C:\Program Files\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\flashget.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{508031DE-A183-4EBA-AF51-35323FBED0DF}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3191171-7E1A-41C1-B9AA-4AB34B0C639B}: NameServer = 192.168.0.245
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
__________________

Alt 03.02.2005, 18:47   #4
chaosman
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



@belenus
system und IE updaten
wechsle danach in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://media27.fastclick.net/w/safe...=29&nfcp=1&fp=2
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\fgiebar.dll
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~2\FLASHGET\flashget.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
danach manuell löschen
D:\PROGRA~2\FLASHGET

Flashget hat spyware, benütze lieb den Leechget
neu booten, neues HJT logfile posten
chaosman
__________________
Bonus vir semper tiro

Alt 03.02.2005, 19:12   #5
belenus
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



EDIT: Wenn das ein Trojaner ist, sollte ich mit TCPView doch sehen falls irgendwelche connections aktiv sind oder ?

Edit²:Von http://www.windowsecurity.com/trojanscan/trojanscan.asp hab ich mal die Systemplatte scannen lassen, auch ohne Ergebniss. Ich werd mal die restlichen Plattenscannen und was schreiben falls der da was finden sollte.

erstmal danke für die flotte Hilfe SP2 wollte ich eigentlich erstmal verhindern, da gibts von allen Seiten ja Inkompatibilitäten. Zum Browsen benutze ich fast immer Firefox.

Hier das neue Hijacklog

Logfile of HijackThis v1.99.0
Scan saved at 19:07:27, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.overclockers.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - Startup: Shortcut to DTemp.exe.lnk = F:\Stuff\IBM\DTemp.exe
O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: MBM 5.lnk = C:\Program Files\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{508031DE-A183-4EBA-AF51-35323FBED0DF}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3191171-7E1A-41C1-B9AA-4AB34B0C639B}: NameServer = 192.168.0.245
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe






Und das hier ist das Hijacklog nicht im abgesicherten Modus:


Logfile of HijackThis v1.99.0
Scan saved at 19:13:01, on 03.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Winamp\winampa.exe
D:\Program Files\D-Tools\daemon.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\PTBSync\PTBSync.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\program files\powerstrip\pstrip.exe
C:\Program Files\NetLimiter\NetLimiter.exe
C:\Program Files\Motherboard Monitor 5\MBM5.exe
F:\Stuff\IBM\DTemp.exe
D:\Program Files\SpywareGuard\sgmain.exe
D:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\ICQ\Icq.exe
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.overclockers.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PTBSync] C:\Program Files\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s
O4 - Startup: Shortcut to DTemp.exe.lnk = F:\Stuff\IBM\DTemp.exe
O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: MBM 5.lnk = C:\Program Files\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{508031DE-A183-4EBA-AF51-35323FBED0DF}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3191171-7E1A-41C1-B9AA-4AB34B0C639B}: NameServer = 192.168.0.245
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Geändert von belenus (03.02.2005 um 19:55 Uhr)

Alt 03.02.2005, 19:58   #6
chaosman
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



@belenus
zur info über tr/dldr.agent.cb
http://www.sophos.de/virusinfo/analy...ojagentcb.html

lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

scan dauert mindestens 1 stunde
bereite dich geistig auf das Neuaufsetzen vom system vor.
chaosman
__________________
--> Merkwürdiger Trojaner :D (tr/dldr.agent.cb)

Alt 04.02.2005, 00:35   #7
belenus
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



So alter schlappen dauert des lange *g*
escan ist durchgelaufen und ich hab etliche "Viren" gehabt, darunter waren aber lauter "not a virus" Dateien, unter anderem viele Programme die ein Reboot teil hatten oder zum Bsp. RealVnc (RemoteDesktop Programm).
Andere gefundene Sachen sind folgende:

File C:\Documents and Settings\All Users\Application Data\IEService\IEService.dll infected by "Trojan.Win32.StartPage.ku"

File C:\Documents and Settings\All Users\Application Data\Setup\Setup.dll infected by "Trojan.Win32.StartPage.ku"

C:\Documents and Settings\kirsche\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-7ea12f8a-3e10c46f.zip infected by "Trojan.Java.ClassLoader.z"

File C:\Documents and Settings\kirsche\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\proc.jar-571bc93f-60eccb41.zip infected by "Exploit.Java.Bytverify" Virus.

File C:\Program Files\Windows Media Player\wmplayer.exe.tmp infected
by "Trojan.Win32.StartPage.kf"

Die Dateien oben hab ich allesamt gelöscht und nach diversen neustarts sind sie auch nicht wieder aufgekreuzt


Nach dem Scan mit escan (siehe oben) und einem scan mit Antivir ohne Fund und nachdem ich jetzt wieder ins IRC Quakenet connecten kann ohne dass der Trojanfehler kommt bleibt die Frage hab ich das Biest ? Sicher ist neuinstallieren immer "besser" aber halt auch so einiger Aufwand. Falls ich um eine Neuinstallation nicht drumrum komme, reicht es die Systemplatte platt zu machen ?

Alt 04.02.2005, 08:58   #8
chaosman
 
Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Standard

Merkwürdiger Trojaner :D (tr/dldr.agent.cb)



@belenus
wenn du in den abgesicherten modus gelöscht hast, müßte es eigentlich reichen

Falls ich um eine Neuinstallation nicht drumrum komme, reicht es die Systemplatte platt zu machen ?
ja, und du hättest ein wirklich sauberes system.

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Merkwürdiger Trojaner :D (tr/dldr.agent.cb)
192.168.0.2, abgesicherten modus, antivir, clean, dll, download, excel, explorer, fehler, festgestellt, firewall, hijackthis, icq, infected, internet, internet explorer, microsoft, monitor, nicht, nvcpl.dll, object, programm, rundll, shockwave, shortcut, software, sun java, tcpip, trojan, trojaner, windows, windows xp



Ähnliche Themen: Merkwürdiger Trojaner :D (tr/dldr.agent.cb)


  1. Trojaner TR/Dldr.MSIL.Agent.OF
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (3)
  2. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  3. Was (noch) tun: TR/Dldr.Agent, TR/Spy.Agent, TR/Dldr.Injecter und Trojan.Packed.191
    Plagegeister aller Art und deren Bekämpfung - 27.01.2009 (5)
  4. Trojaner : TR/Dldr.Agent.6656.10
    Mülltonne - 27.10.2008 (0)
  5. Trojaner TR/Dldr.Agent.khj ??? Was tun ???
    Log-Analyse und Auswertung - 16.03.2008 (0)
  6. hilfe TR/Dldr.Agent.gzp , DR/Dldr.Agent.fwr.1 kriege sie nicht runter
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)
  7. Trojaner Fund : TR/Dldr.Agent.drw
    Log-Analyse und Auswertung - 23.10.2007 (1)
  8. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  9. Trojaner TR/Dldr.Agent.40448.1
    Log-Analyse und Auswertung - 02.09.2006 (12)
  10. TROJANER:TR/dldr.Agent.SO.1 Wie bekomm ich den weg?
    Log-Analyse und Auswertung - 25.06.2006 (12)
  11. Trojaner TR/Dldr.agent.td.52
    Plagegeister aller Art und deren Bekämpfung - 22.01.2006 (9)
  12. Trojaner TR/DLDR.Agent bzw. TR/small
    Log-Analyse und Auswertung - 04.01.2006 (7)
  13. mehrere Trojaner?/Dldr.Agent.td.52
    Log-Analyse und Auswertung - 31.12.2005 (2)
  14. trojaner tr/dldr.agent.a
    Plagegeister aller Art und deren Bekämpfung - 12.12.2005 (4)
  15. Trojaner TR/Dldr.Agent.TV.9
    Plagegeister aller Art und deren Bekämpfung - 21.10.2005 (14)
  16. Trojaner Tr/dLdr.agent.bc.7
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (1)
  17. Lästige Trojaner TR/Dldr.Agent.gs TR/Dldr.Agent.gs
    Log-Analyse und Auswertung - 06.01.2005 (5)

Zum Thema Merkwürdiger Trojaner :D (tr/dldr.agent.cb) - Als ich heute ins Irc (quakenet) connecten wollte kam der Fehler "you are infected with a trojan, please clean your pc (id: 304)." . Also erstmal Antivir über die Systemplatte - Merkwürdiger Trojaner :D (tr/dldr.agent.cb)...
Archiv
Du betrachtest: Merkwürdiger Trojaner :D (tr/dldr.agent.cb) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.