Hallo an alle Trojaner-Spezialisten

Ich versuche seit ca. 2 Wochen einen Trojaner von meinem System zu entfernen, allerdings bis heute ohne Erfolg. Deshalb versuche ich es auf diesem Weg einmal.
AV-Personal erkennt einen Trojaner mit der Bezeichnung TR/Dldr.bagle.var.1 in der Datei 7[1].zip…16_04_2005.
Das Programm kann diesen nicht löschen, da es ich um Archiv handelt. Ein auffinden der oben genannten Datei über die Suchfunktion blieb ohne Erfolg.
Beim scannen mit dem Programm ad aware wird der TR ebenfall gefunden aber nicht entfernt.

Vielleicht könnt Ihr mir einen guten Tip geben.

Gruss Turbo

Hi,
laß mal antivir im abgesciherten Modus laufen. Und poste erstmal ein HiJackThis Logfile hier rein.
cacatoa

Im abgesicherten Modus wird der TR ebensfalls erkannt.

Der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:17, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
D:\PROGRA~1\TWINTO~1\MouseElf.EXE
C:\Programme\SinEspias\No-Spy.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
d:\Programme\TwinTouch LuxeMate\EMouse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Janett\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RemoteControl] "d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [mouseElf] d:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "D:\Programme\a2\a2guard.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110301083234
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bitte, wo genau wird der Troj gefunden?
cacatoa

äh...blöde frage...warum löscht du die datei 7[1].zip nicht worin das ding ständig erkannt wird?

hast du es im shared folder oder in einem sontigen tauschbörsenordner? oder im mistkübel bereits und den nicht geleert, oder liegt das im ordner temp, in den temporären files...

poste doch beim nächsten mal wenns klingelt den pfad wo es antivir meldet wenn keines auf's eben oben erwähnte zutrifft.

Nach dem Report von AV:

C:\Dokumente und Einstellungen\Janett\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HM3SHWT
7[1].zip
ArchiveType: ZIP
--> 16_04_2005.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bagle.var.1

Turbo

warum löscht du die temporären internetfiles incl. offlineinhalte nicht, wenn es schon da steht wo es sich befindet?

Weil sich im Ordner Temporary Internet Files kein Ordner mit dem Name Content.IE5\0HM3SHWT oder gar eine Datei mit Namen 7[1].zip befindet!

Turbo

entweder spinnt dann dein antivir oder du machst es nicht richtig.
der ordner befindet sich ja NICHT IN sondern als UNTERordner der temporären internetfiles = OFFLINEINHALTE - und diese unbedingt auch LÖSCHEN.

das machst du so:

schliese den browser!
klick links unten auf START-EINSTELLUNGEN-SYSTEMSTEUERUNG-Internetoptionen. Internetoptionen klickst du doppelt an. es öffnet sich ein fenster mit verschiedener auswahl. in der mitte steht DATEIEN LÖSCHEN, das anklicken. es öffnet sich ein weiteres info wegen der offline inhalte, auch OK/JA klicken. also die auch löschen. weil darin sind die ganzen unterordner mit ihren dateien drinnen die als "content IE5" dastehen. mit dem normalen/einfachen löschen der temporären files kommst du garnicht zu den ordnern.