![]() |
|
Plagegeister aller Art und deren Bekämpfung: Hilfe bei TR/Dldr.bagle.var.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Hilfe bei TR/Dldr.bagle.var.1 Hallo an alle Trojaner-Spezialisten Ich versuche seit ca. 2 Wochen einen Trojaner von meinem System zu entfernen, allerdings bis heute ohne Erfolg. Deshalb versuche ich es auf diesem Weg einmal. AV-Personal erkennt einen Trojaner mit der Bezeichnung TR/Dldr.bagle.var.1 in der Datei 7[1].zip…16_04_2005. Das Programm kann diesen nicht löschen, da es ich um Archiv handelt. Ein auffinden der oben genannten Datei über die Suchfunktion blieb ohne Erfolg. Beim scannen mit dem Programm ad aware wird der TR ebenfall gefunden aber nicht entfernt. Vielleicht könnt Ihr mir einen guten Tip geben. Gruss Turbo |
![]() | #2 |
![]() ![]() ![]() | ![]() Hilfe bei TR/Dldr.bagle.var.1 Hi,
__________________laß mal antivir im abgesciherten Modus laufen. Und poste erstmal ein HiJackThis Logfile hier rein. cacatoa
__________________ |
![]() | #3 |
| ![]() Hilfe bei TR/Dldr.bagle.var.1 Im abgesicherten Modus wird der TR ebensfalls erkannt.
__________________Der Logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:42:17, on 01.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE D:\PROGRA~1\TWINTO~1\MouseElf.EXE C:\Programme\SinEspias\No-Spy.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe d:\Programme\TwinTouch LuxeMate\EMouse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Janett\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [RemoteControl] "d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600" O4 - HKLM\..\Run: [mouseElf] d:\PROGRA~1\TWINTO~1\MouseElf.EXE O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [a-squared] "D:\Programme\a2\a2guard.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110301083234 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
![]() | #4 |
![]() ![]() ![]() | ![]() Hilfe bei TR/Dldr.bagle.var.1 Bitte, wo genau wird der Troj gefunden? cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
![]() | #5 |
![]() ![]() ![]() ![]() | ![]() Hilfe bei TR/Dldr.bagle.var.1 äh...blöde frage...warum löscht du die datei 7[1].zip nicht worin das ding ständig erkannt wird? hast du es im shared folder oder in einem sontigen tauschbörsenordner? oder im mistkübel bereits und den nicht geleert, oder liegt das im ordner temp, in den temporären files... poste doch beim nächsten mal wenns klingelt den pfad wo es antivir meldet wenn keines auf's eben oben erwähnte zutrifft. |
![]() | #6 |
| ![]() Hilfe bei TR/Dldr.bagle.var.1 Nach dem Report von AV: C:\Dokumente und Einstellungen\Janett\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HM3SHWT 7[1].zip ArchiveType: ZIP --> 16_04_2005.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Bagle.var.1 Turbo |
![]() | #7 |
![]() ![]() ![]() ![]() | ![]() Hilfe bei TR/Dldr.bagle.var.1 warum löscht du die temporären internetfiles incl. offlineinhalte nicht, wenn es schon da steht wo es sich befindet? |
![]() |
Themen zu Hilfe bei TR/Dldr.bagle.var.1 |
ad aware, archiv, aware, blieb, datei, entferne, entfernen, erkenn, erkennt, gefunde, guten, handel, heute, löschen, nicht löschen, programm, scan, scanne, scannen, suchfunktion, system, troja, versuche, woche, wochen |