| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe bei TR/Dldr.bagle.var.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.05.2005, 12:22
| #1 |
| |  Hilfe bei TR/Dldr.bagle.var.1 Hallo an alle Trojaner-Spezialisten Ich versuche seit ca. 2 Wochen einen Trojaner von meinem System zu entfernen, allerdings bis heute ohne Erfolg. Deshalb versuche ich es auf diesem Weg einmal. AV-Personal erkennt einen Trojaner mit der Bezeichnung TR/Dldr.bagle.var.1 in der Datei 7[1].zip…16_04_2005. Das Programm kann diesen nicht löschen, da es ich um Archiv handelt. Ein auffinden der oben genannten Datei über die Suchfunktion blieb ohne Erfolg. Beim scannen mit dem Programm ad aware wird der TR ebenfall gefunden aber nicht entfernt. Vielleicht könnt Ihr mir einen guten Tip geben. Gruss Turbo |
|
01.05.2005, 12:26
| #2 |
  | Hilfe bei TR/Dldr.bagle.var.1 Hi,
__________________laß mal antivir im abgesciherten Modus laufen. Und poste erstmal ein HiJackThis Logfile hier rein. cacatoa
__________________ |
|
01.05.2005, 14:50
| #3 |
| | Hilfe bei TR/Dldr.bagle.var.1 Im abgesicherten Modus wird der TR ebensfalls erkannt.
__________________Der Logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:42:17, on 01.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE D:\PROGRA~1\TWINTO~1\MouseElf.EXE C:\Programme\SinEspias\No-Spy.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe d:\Programme\TwinTouch LuxeMate\EMouse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Janett\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [RemoteControl] "d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600" O4 - HKLM\..\Run: [mouseElf] d:\PROGRA~1\TWINTO~1\MouseElf.EXE O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [a-squared] "D:\Programme\a2\a2guard.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110301083234 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
01.05.2005, 14:52
| #4 |
| | Hilfe bei TR/Dldr.bagle.var.1 Bitte, wo genau wird der Troj gefunden? cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
01.05.2005, 14:59
| #5 |
 | Hilfe bei TR/Dldr.bagle.var.1 äh...blöde frage...warum löscht du die datei 7[1].zip nicht worin das ding ständig erkannt wird? hast du es im shared folder oder in einem sontigen tauschbörsenordner? oder im mistkübel bereits und den nicht geleert, oder liegt das im ordner temp, in den temporären files... poste doch beim nächsten mal wenns klingelt den pfad wo es antivir meldet wenn keines auf's eben oben erwähnte zutrifft. |
|
01.05.2005, 15:06
| #6 |
| | Hilfe bei TR/Dldr.bagle.var.1 Nach dem Report von AV: C:\Dokumente und Einstellungen\Janett\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HM3SHWT 7[1].zip ArchiveType: ZIP --> 16_04_2005.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Bagle.var.1 Turbo |
|
01.05.2005, 15:08
| #7 |
| | Hilfe bei TR/Dldr.bagle.var.1 warum löscht du die temporären internetfiles incl. offlineinhalte nicht, wenn es schon da steht wo es sich befindet? |
|
01.05.2005, 15:22
| #8 |
| | Hilfe bei TR/Dldr.bagle.var.1 Weil sich im Ordner Temporary Internet Files kein Ordner mit dem Name Content.IE5\0HM3SHWT oder gar eine Datei mit Namen 7[1].zip befindet! Turbo |
|
01.05.2005, 15:25
| #9 |
| | Hilfe bei TR/Dldr.bagle.var.1 entweder spinnt dann dein antivir oder du machst es nicht richtig. der ordner befindet sich ja NICHT IN sondern als UNTERordner der temporären internetfiles = OFFLINEINHALTE - und diese unbedingt auch LÖSCHEN. das machst du so: schliese den browser! klick links unten auf START-EINSTELLUNGEN-SYSTEMSTEUERUNG-Internetoptionen. Internetoptionen klickst du doppelt an. es öffnet sich ein fenster mit verschiedener auswahl. in der mitte steht DATEIEN LÖSCHEN, das anklicken. es öffnet sich ein weiteres info wegen der offline inhalte, auch OK/JA klicken. also die auch löschen. weil darin sind die ganzen unterordner mit ihren dateien drinnen die als "content IE5" dastehen. mit dem normalen/einfachen löschen der temporären files kommst du garnicht zu den ordnern. |
|
| Themen zu Hilfe bei TR/Dldr.bagle.var.1 |
| ad aware, archiv, aware, blieb, datei, entferne, entfernen, erkenn, erkennt, gefunde, guten, handel, heute, löschen, nicht löschen, programm, scan, scanne, scannen, suchfunktion, system, troja, versuche, woche, wochen |
