Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: das Trojanische Pferd TR/Dldr.Agent.EX!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.03.2005, 22:07   #1
RainerG
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Frage

das Trojanische Pferd TR/Dldr.Agent.EX!



Hallo, ich habe von Antivir eine Warnung für Trojaner bekommen und gleich aufgefordert zu löschen. Später habe ich dann mir diesen Report angesehen:

17.03.2005,17:24:57 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
17.03.2005,18:28:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.EX!
C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ZZZ3V05L\LOADER2[1].OCX
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
17.03.2005,18:29:07 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.EX!
C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ZZZ3V05L\LOADER2[1].OCX
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
17.03.2005,20:50:00 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
C:\DOKUMENTE UND EINSTELLUNGEN\RAINER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\1HPVYUNQ\ZUSAMMENFASSSUNG-MUSIKMEDIEN-03-2005[1].DOC
[WARNUNG] Dieses OLE-Dokument ist möglicherweise zerstört!

Anschließend nochmal nach Viren suchen lassen und mir wurde wieder ein Trojaner gemeldet, dies konnte ich dann löschen. Bei erneuter Suche wird keiner mehr angezeigt.
Wie kann ich sicher gehen, ob alles gelöscht ist? Ist es möglich das da noch was in der registry sitzt?
Bitte um Hilfe!
RainerG

Alt 17.03.2005, 22:52   #2
dartus
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



Hallo RainerG,

poste bitte ein Hijackthis-Logfile

und führe bitte dies aus:
1. Downloade Dir escan und befolge diese Anleitung (Scan Im abgesicherten Modus dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus
__________________


Alt 07.04.2005, 15:29   #3
b.glueck
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



Hallo. Auch mich hat dieser Trojaner befallen. AntiVir hat ihn erkannt und entfernt, allersings nachdem bereits jenste dinge installiert worden sind... ich verwende als webbrowser ja eigentlich Mozilla Firefox, hab aber aus neugier/vorahnung nach der atacke mal wieder den Windows Internetexplorer gestartet und wieder (wie schon einmal vor einem halben jahr auf einem anderen PC) die "tolle" mysearch leiste gefunden, die keiner will.

zudem erkennt mein LapTop einen tag nach dem angriff das lokale WLan-Netzwerk nicht mehr, obwohl das Grät praktisch neu ist und die Hardware als intakt und aktiv gekennzeichnet wird. Kann das auch mit dem Virus zusammenhängen, oder ist es Zufall, dass Virus und Aussteigen der WLan-karte (was ich vermute) +/- zusammenfielen?

hier mal das logfile von Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:44:25, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\AntiVir\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\MSN Plus!\MsgPlus.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AntiVir\AVGNT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ben\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mhriiwjrinlwghdpdzagkqvxb...OvhuOWYv3h.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iptevlqmuhupxuihbfupigzvm...rWAH0cg1nw.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NetAnts.IE.Monitor - {57E91B41-F40A-11D1-B792-444553540000} - C:\Programme\NetAnts\AntAPI.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {C5113B8D-78CA-C5E4-0382-4BBBCD5137DC} - C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1\five start.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MSN Plus!\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NURBREGSBOLTTHE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs\Chic Global.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger\MSN Plus!\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [forkcity] C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1\CoalEq.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\Windows\iLookup\ezStub22.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23169cfd...dxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\Windows\system32\ZoneLabs\vsmon.exe

danke für die unterstützung...

b.glueck

UPDATE 07/04/05 18:06
Durch reinstalation des Treibers für die WLan-karte funktioniert diese wieder einwandfrei... offenbar hat der Virus den Treiber zerschossen. puh. 1 Problem weniger. was bleibt: die mysearchnow leiste im IExplorer.

danke, Ben
__________________

Geändert von b.glueck (07.04.2005 um 17:08 Uhr) Grund: UPDATE

Alt 07.04.2005, 20:13   #4
dartus
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



Hallo b.glueck,

NetAnts arbeitet mit Spyware benutze lieber die werbefreien Leechget oder Getright.
Das gleiche der MessengerPlus3, falls Du ihn mit sog. Sponsorprogrammen geladen hast. Den gibt es auch ohne Sponsoren.

Wo hat Antivir den Schädling festgestellt (bitte Pfad angeben)?

Führe mal Escan aus, wie hier in den Thread beschrieben.

dartus

Alt 08.04.2005, 00:16   #5
b.glueck
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



- habe NetAnts deinstalliert,
- messengerplus!3 hat gefragt, ob ich nur die sponsorsoftware deinstallieren will. dies habe ich mit ja beantwortet und ausgefürt.
- die Datei eZstub.exe in C:\Windows\ilookup versuchte auf das Internet zuzugreifen. ich hatte die datei früher schon mal gelöscht, weil ich sie mit dem virus in zusammenhang brachte... plötzlich ist sie wieder da. habe den Ordner und einen zweiten mit gleichem Erstellungszeitpunkt gelöscht.
- zudem habe ich das Programm iTunes deinstalliert. Ich weiss weder woher es kommt, noch habe ich es je verwendet... während der deinstallation erschienen (wieder) zwei Verknüpfungen auf dem Desktop: Tune up your pc (oder so ähnlich) und Joker...

kann leider nicht sagen, wo AntVir den Virus geortet hatte. die Reportdatei wurde weitergeführt und reicht nicht weiter als 3 tage zurück.


Alt 08.04.2005, 00:23   #6
dartus
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



Hallo,

nach dem Escan sehen wir weiter.

dartus

Alt 08.04.2005, 02:41   #7
b.glueck
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



hier nun also die e-scan resultate:

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with BearShare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "BearShare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with bearshare Spyware/Adware! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "bearshare Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:10 2005 => System found infected with bearsharechatnotifymsg Spyware/Adware! Action taken: No Action Taken.
Fri Apr 08 01:27:10 2005 => File System Found infected by "bearsharechatnotifymsg Spyware/Adware" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:27:50 2005 => File C:\WINDOWS\woinstall.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:30:33 2005 => File C:\DOKUME~1\Ben\LOKALE~1\Temp\fxmbculu.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:33:31 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\ED78P432\woinstall[1].exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:33:51 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\EZ63Y927\eZinstall[1].exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 01:35:50 2005 => File C:\DOKUME~1\Ben\LOKALE~1\TEMPOR~1\Content.IE5\GLM3C16N\ysb_prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:01:48 2005 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\Temp\Magiceye.exe infected by "not-a-virus:AdWare.Gator.3103" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:02:03 2005 => File C:\Dokumente und Einstellungen\Ben\Eigene Dateien\Temp\WarezP2P.exe infected by "Trojan-Downloader.Win32.Small.apc" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:12:36 2005 => Scanning Folder: C:\Programme\AntiVir\INFECTED\*.*
Fri Apr 08 02:12:36 2005 => Scanning File C:\Programme\AntiVir\INFECTED\PROMPT[1].HTM.VIR
Fri Apr 08 02:12:36 2005 => File C:\Programme\AntiVir\INFECTED\PROMPT[1].HTM.VIR infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:12:36 2005 => Scanning File C:\Programme\AntiVir\INFECTED\_CACHE_003_.VIR
Fri Apr 08 02:12:36 2005 => File C:\Programme\AntiVir\INFECTED\_CACHE_003_.VIR infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:00 2005 => File C:\Programme\BearShare\Installer\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:00 2005 => File C:\Programme\BearShare\Installer\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:05 2005 => File C:\Programme\BearShare\Update\BSINSTALL.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:13:05 2005 => File C:\Programme\C2Media\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:07 2005 => File C:\RECYCLER\S-1-5-21-3895061466-2463679597-2222574396-1008\Dc55.exe infected by "Trojan-Downloader.Win32.Small.apc" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:07 2005 => File C:\RECYCLER\S-1-5-21-3895061466-2463679597-2222574396-1008\Dc56\Setup.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:47 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP105\A0021819.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:48:51 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP105\A0021820.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:21 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP107\A0022169.exe infected by "not-a-virus:AdWare.Lop" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:41 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022490.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022491.exe infected by "not-a-virus:AdWare.Whenu.a" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022497.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:42 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022498.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022536.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022537.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022538.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:45 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022539.exe infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:49:47 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP109\A0022566.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:05 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022711.exe infected by "not-a-virus:AdWare.Lop.m" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:06 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022712.exe infected by "not-a-virus:AdWare.Lop.p" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:09 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022713.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:20 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022720.exe infected by "not-a-virus:AdWare.EZula.ak" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:50:34 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP114\A0022725.exe infected by "not-a-virus:AdWare.EZula.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:51:17 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP57\A0016204.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:51:20 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP57\A0016205.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:52:14 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP65\A0017884.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:54:58 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020063.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:55:01 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020064.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 02:55:05 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP97\A0020069.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.

Fri Apr 08 03:14:19 2005 => ***** Scanning complete. *****

Fri Apr 08 03:14:19 2005 => Total Objects Scanned: 80287
Fri Apr 08 03:14:19 2005 => Total Virus(es) Found: 49
Fri Apr 08 03:14:19 2005 => Total Disinfected Files: 0
Fri Apr 08 03:14:19 2005 => Total Files Renamed: 0
Fri Apr 08 03:14:19 2005 => Total Deleted Objects: 0
Fri Apr 08 03:14:19 2005 => Total Errors: 80
Fri Apr 08 03:14:19 2005 => Time Elapsed: 01:47:56
Fri Apr 08 03:14:19 2005 => Virus Database Date: 2005/04/06
Fri Apr 08 03:14:19 2005 => Virus Database Count: 124827

Fri Apr 08 03:14:19 2005 => Scan Completed.

so. das war's. habe einige eindeutige fälle bereits gelöscht, bin aber jederzeit offen für jedwelche ergänzung... merci. Ben

Alt 08.04.2005, 17:02   #8
dartus
 
das Trojanische Pferd TR/Dldr.Agent.EX! - Standard

das Trojanische Pferd TR/Dldr.Agent.EX!



Hallo b.glueck,

deinstalliere "bearshare".

Die "015"-Einträge, falls Du diese nicht kennst, wirst Du so los:
http://www.trojaner-board.de/showpos...6&postcount=31

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken) folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mhriiwjrinlwghdpdzagkqvx...aOvhuOWYv3h.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iptevlqmuhupxuihbfupigzv...HrWAH0cg1nw.htm
O2 - BHO: (no name) - {C5113B8D-78CA-C5E4-0382-4BBBCD5137DC} - C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1\five start.exe
O4 - HKLM\..\Run: [NURBREGSBOLTTHE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs\Chic Global.exe
O4 - HKCU\..\Run: [forkcity] C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1\CoalEq.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\Windows\iLookup\ezStub22.exe
Falls Du das nicht kennst ebenfalls und auch dann die Dateien löschen
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx

sowie wenn och da ale Netants-Einträge

Leere Deine "TEMP"-Ordner (Start/ausführe/cleanmgr eingeben)

Antivir-Quarantäne-Ordner leeren

Alle infected Dateien manuell löschen, die nicht in Temp-Ordner und hier C:\System Volume Information\_restore sind (am besten wenn noch vorhanden den ganzen Ordner "C:\Programme\BearShare" und "C:\Programme\C2Media), sowie diese Dateien/Ordner (wenn unbekannt):

C:\Windows\iLookup
C:\DOKUME~1\Ben\ANWEND~1\LOCKSD~1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IsoIntraNurbRegs
C:\DOKUME~1\Ben\ANWEND~1\MEMOKI~1

Papierkorb leeren

Neustart-->Systemwiederherstellung aktivieren-->neues HJT-Logfile

dartus

Antwort

Themen zu das Trojanische Pferd TR/Dldr.Agent.EX!
alles gelöscht, antivir, content.ie5, datei, dienst, einstellungen, fehler, files, folge, folgende, gelöscht, internet, lokale, pferd, problem, prozess, registry, report, suche, temporary, trojaner, trojaner gemeldet, trojanische, trojanische pferd, viren, warnung



Ähnliche Themen: das Trojanische Pferd TR/Dldr.Agent.EX!


  1. Trojanische Pferd TR/Click.Cycler.akna und Java-Virus JAVA/Dldr.Agent.W
    Plagegeister aller Art und deren Bekämpfung - 28.08.2010 (1)
  2. was ist das Trojanische Pferd TR/Dldr.VB.dey?
    Plagegeister aller Art und deren Bekämpfung - 15.07.2008 (22)
  3. was ist das Trojanische Pferd TR/Dldr.VB.dey?
    Mülltonne - 13.07.2008 (0)
  4. Trojanische Pferd TR/Agent.anq.5 Trojanische Pferd TR/Crypt.FKM.Gen Trojanische Pfe
    Log-Analyse und Auswertung - 18.06.2007 (1)
  5. HELP Trojanische Pferd TR/Dldr.IstBar.NK.2
    Plagegeister aller Art und deren Bekämpfung - 16.01.2006 (8)
  6. Trojanische Pferd TR/Dldr.Agent.td.52
    Log-Analyse und Auswertung - 15.01.2006 (1)
  7. Hilfe!!!Trojanische Pferd TR/Dldr.Agent.td.52 geht net weg
    Plagegeister aller Art und deren Bekämpfung - 08.01.2006 (3)
  8. Trojanische Pferd TR/Dldr.Agent.td.52
    Plagegeister aller Art und deren Bekämpfung - 07.01.2006 (3)
  9. Trojanische Pferd TR/Dldr.Agent.td.52
    Plagegeister aller Art und deren Bekämpfung - 23.12.2005 (2)
  10. Ist das Trojanische Pferd TR/Dldr.Agent.BC.27
    Log-Analyse und Auswertung - 02.11.2005 (2)
  11. Trojanische Pferd TR/Dldr.Small.bat.1
    Plagegeister aller Art und deren Bekämpfung - 31.07.2005 (2)
  12. Trojanische Pferd TR/Dldr.Agent.EX
    Log-Analyse und Auswertung - 18.03.2005 (3)
  13. Trojanische Pferd TR/Dldr.IstBar.A!
    Log-Analyse und Auswertung - 16.02.2005 (3)
  14. Trojanische Pferd TR/Dldr.Agent.hm
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (4)
  15. “Trojanische Pferd TR/Dldr.Agent.AP.3"
    Plagegeister aller Art und deren Bekämpfung - 17.12.2004 (12)
  16. Trojanische Pferd TR/Dldr.Agent.BT der macht mich noch irre!!
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (3)
  17. Trojanische Pferd TR/Dldr.Ist.CA !!! NEU help
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (1)

Zum Thema das Trojanische Pferd TR/Dldr.Agent.EX! - Hallo, ich habe von Antivir eine Warnung für Trojaner bekommen und gleich aufgefordert zu löschen. Später habe ich dann mir diesen Report angesehen: 17.03.2005,17:24:57 [INIT] Der AVGuard Dienst wurde erfolgreich - das Trojanische Pferd TR/Dldr.Agent.EX!...
Archiv
Du betrachtest: das Trojanische Pferd TR/Dldr.Agent.EX! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.