TR/Dldr.Agent.UJ.91 nicht entfernbar. Was soll ich machen?

pam26 · 18.03.2006, 20:47

Hi, ich bin neu und habe noch nicht viel Erfahrung mit Trojanern. Wäre toll, wenn mir jemand helfen könnte.
Mein Virenscanner findet regelmässig den Trojaner TR/Dldr.Agent.UJ.91 in folgenden Verzeichnissen: C:/.../RECYCLER und C:/.../SystemVolumeInformation. Das Virenprogramm zeigt mir dann an, dass die betroffenen Dateien gelöscht wurden und beim nächsten Scan findet er wieder denselben Trojaner. Weiss nicht, wie ich den loswerden kann.
Habe auch schon ein HijackThis logfile, weiss aber nicht wie ich es editieren muss.
Weiss nicht mehr weiter, bitte um Hilfe.

ok, Habe jetzt escan laufen lassen und folgendes gefunden:
C:\DOKUME~1\Consta~1\LOKALE~1\TEMPOR~1\Content.IE5\CEQDRHB8\177[1].jpg infected by "Trojan-DOwnloader.Win32.Small.com
Hilft mir das weiter?

dartus · 19.03.2006, 02:08

Hallo pam26,

lade Dir clearprog 1.4.1 final.
Starte clearprog -> Häkchen bei Alles Löschen und auf Löschen klicken

Deaktiviere die Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html, System runterfahren.
Neustart -> Systemwiederherstellung kann wieder aktiviert werden.

dartus

pam26 · 22.03.2006, 10:00

Cool. Hat alles geklappt, trojaner is runter. Vielen Dank!

pam26 · 22.03.2006, 12:16

ok, habs grad nochmal gecheckt und der Trojaner ist wieder da. Ich denke irgendwie läd sich das Teil immer wieder selbst runter, wenn das möglich ist.
Gibt es vielleicht no irgendne andere Möglichkeit was dagegen zu machen??
Pam

dartus · 22.03.2006, 14:40

Hallo pam26,

poste bitte ein Hijackthis-Logfile. Editiere bitte eventuelle Links und persönlichen Daten.

Wo wird das Teil gefunden?

dartus

pam26 · 22.03.2006, 15:37

Logfile of HijackThis v1.99.1
Scan saved at 15:19:26, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\gearsec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\alg.exe C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Mozilla Firefox\firefox.exe D:\Programme 2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.web.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136461716640
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 85.255.113.139 85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{13169249-3312-4C9C-82FC-CCD2B98E35F9}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E124C89-E90C-4B84-B442-6FE7405DBFE8}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA18C106-6299-4739-AB1E-4353611596BE}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E322271D-78AC-4EB6-878A-9AAA8F8298DF}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 85.255.113.139 85.255.112.125 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

der trojaner wird immer in SystemVolumeInformation oder selten auch im Ordner Recycler gefunden. Antivir erkennt ihn dann, löscht das file und einen Tag später ist er wieder da ,aber ne andere Nummer für das file

Pam26

BataAlexander · 22.03.2006, 15:45

Hallo,

Du hast hier Probleme

O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 85.255.113.139 85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{13169249-3312-4C9C-82FC-CCD2B98E35F9}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E124C89-E90C-4B84-B442-6FE7405DBFE8}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA18C106-6299-4739-AB1E-4353611596BE}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E322271D-78AC-4EB6-878A-9AAA8F8298DF}: NameServer = 85.255.113.139,85.255.112.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 85.255.113.139 85.255.112.125

lade Dir Blacklight, scanne und poste das Ergebnis.

Hi dartus

Gruß

Schrulli

TR/Dldr.Agent.UJ.91 nicht entfernbar. Was soll ich machen?

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.UJ.91 nicht entfernbar. Was soll ich machen?