Hilfe bei TR/Dldr.bagle.var.1

Turbo · 01.05.2005, 12:22

Hallo an alle Trojaner-Spezialisten

Ich versuche seit ca. 2 Wochen einen Trojaner von meinem System zu entfernen, allerdings bis heute ohne Erfolg. Deshalb versuche ich es auf diesem Weg einmal.
AV-Personal erkennt einen Trojaner mit der Bezeichnung TR/Dldr.bagle.var.1 in der Datei 7[1].zip…16_04_2005.
Das Programm kann diesen nicht löschen, da es ich um Archiv handelt. Ein auffinden der oben genannten Datei über die Suchfunktion blieb ohne Erfolg.
Beim scannen mit dem Programm ad aware wird der TR ebenfall gefunden aber nicht entfernt.

Vielleicht könnt Ihr mir einen guten Tip geben.

Gruss Turbo

cacatoa · 01.05.2005, 12:26

Hi,
laß mal antivir im abgesciherten Modus laufen. Und poste erstmal ein HiJackThis Logfile hier rein.
cacatoa

Turbo · 01.05.2005, 14:50

Im abgesicherten Modus wird der TR ebensfalls erkannt.

Der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:17, on 01.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
D:\PROGRA~1\TWINTO~1\MouseElf.EXE
C:\Programme\SinEspias\No-Spy.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
d:\Programme\TwinTouch LuxeMate\EMouse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Janett\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RemoteControl] "d:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [mouseElf] d:\PROGRA~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "D:\Programme\a2\a2guard.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1110301083234
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cacatoa · 01.05.2005, 14:52

Bitte, wo genau wird der Troj gefunden?
cacatoa

rock · 01.05.2005, 14:59

äh...blöde frage...warum löscht du die datei 7[1].zip nicht worin das ding ständig erkannt wird?

hast du es im shared folder oder in einem sontigen tauschbörsenordner? oder im mistkübel bereits und den nicht geleert, oder liegt das im ordner temp, in den temporären files...

poste doch beim nächsten mal wenns klingelt den pfad wo es antivir meldet wenn keines auf's eben oben erwähnte zutrifft.

Turbo · 01.05.2005, 15:06

Nach dem Report von AV:

C:\Dokumente und Einstellungen\Janett\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0HM3SHWT
7[1].zip
ArchiveType: ZIP
--> 16_04_2005.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Bagle.var.1

Turbo

rock · 01.05.2005, 15:08

warum löscht du die temporären internetfiles incl. offlineinhalte nicht, wenn es schon da steht wo es sich befindet?

Hilfe bei TR/Dldr.bagle.var.1

Plagegeister aller Art und deren Bekämpfung: Hilfe bei TR/Dldr.bagle.var.1