Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Lästiger Trojaner - TR/Dldr.Agen.aef.21

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.01.2007, 22:55   #1
Noonan
 
Lästiger Trojaner - TR/Dldr.Agen.aef.21 - Standard

Lästiger Trojaner - TR/Dldr.Agen.aef.21



hallo,

ich habe ein ziemlich hartnäckiges Problem bei dem mir hoffentlich jemand helfen kann.

Der Trojaner den ich mir eingefangen habe wird laut "AntiVir PE Classic"

TR/Dldr.Agen.aef.21

genannt. Er erstellt ständig eine Datei mit dem Namen "tmp_d4v.exe" im System32 Ordner. Egal was ich versucht habe (und das war nicht wenig :-) ich erhalte immer wieder die Fehlermeldung und die Datei kommt natürlich auch wieder. Meistens tritt sie direkt nach einem Neustart auf.

Wäre echt super wenn mir jemand helfen könnte.
Mfg

---------------
Hier noch das aktuell HJT Protokoll

Logfile of HijackThis v1.99.1
Scan saved at 23:53:57, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/045daece2f951fe53020/netzip/RdxIE601_de.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\systk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 08.01.2007, 05:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Lästiger Trojaner - TR/Dldr.Agen.aef.21 - Standard

Lästiger Trojaner - TR/Dldr.Agen.aef.21



C:\WINDOWS\system32\systk.dll
C:\WINDOWS\system32\cmd32.exe


Diese beiden Dateien sollten wir mal genauer untersuchen. Damit du die online auswerten kannst, solltest du diese zuerst mal mit Killbox löschen. Denn es ist nicht unwahrscheinlich, dass diese Dateien vom Schädling "geschützt" sind und somit der Zugriff darauf verhindert wird.
Besorg dir Killbox und starte es. Kopier dazu die Pfadanangaben zuerst von einer Datei in das Adressfeld von Killbox. Dann aktivierst du die Option "Delete on reboot" und klickst auf das rote Schild mit dem weißen X. Die folgende Frage mit Nein beantworten, sonst würde das System neustarten, aber wir wollen ja, das beide Dateien beim nächsten Systemstart gelöscht werden.
Das gleiche machst du dann mit der anderen Datei auch und startest dann Windows neu.
Schau mal danach in den neuen Ordner C:\!KILLBOX\, ob sich dort die Dateien drin befinden, denn Killbox legt dort jew. eine Sicherheitskopie an. Achte darauf, dass alle Dateien angezeigt werden. Werte dann diese beiden Dateien anschließend bei Virustotal aus und poste sämtliche Ergebnisse, auch Infos zu Dateigrößen und Prüfsummen.
Mach auch mal bitte einen Check mit Blacklight und poste das Ergebnis.
__________________

__________________

Alt 08.01.2007, 07:14   #3
Noonan
 
Lästiger Trojaner - TR/Dldr.Agen.aef.21 - Standard

Lästiger Trojaner - TR/Dldr.Agen.aef.21



Vielen Dank für die schnelle Info. Leider bin ich bis ca. 17.30 Uhr auf Arbeit.
Ich werde es allerdings gleich machen wenn ich zu Hause bin und die Ergebnisse posten.

Mfg
__________________

Alt 08.01.2007, 17:16   #4
Noonan
 
Lästiger Trojaner - TR/Dldr.Agen.aef.21 - Standard

Lästiger Trojaner - TR/Dldr.Agen.aef.21



So hier ein kurzer Zwischenstand:

Killbox hat nur eine der beiden Dateien in dem Verzeichnis abgelegt(C:\!KillBox)

systk.dll

Ich habe zwar die andere auch angegeben aber anscheinend wollte er die nicht löschen. Nach dem Reboot hab ich wieder versucht die Datei zu löschen doch diesmal brachte Killbox folgende Meldung:

PendlingFileRenameoperations Registry Data has been Removed by External Process!

----------

Virustotal gibt mir hier eine Wartezeit von ca. 3 Stunden daher poste ich sobald ich das Ergebnis habe von systk.dll



----------

Hier noch die Ergebnisse von Blacklight:


Status: Scan completed.
No hidden items were found.
Summary: Bei beiden steht 0

oder meinst du die Textdatei?

01/08/07 18:03:04 [Info]: BlackLight Engine 1.0.55 initialized
01/08/07 18:03:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/08/07 18:03:04 [Note]: 7019 4
01/08/07 18:03:04 [Note]: 7005 0
01/08/07 18:03:10 [Note]: 7006 0
01/08/07 18:03:10 [Note]: 7011 168
01/08/07 18:03:10 [Note]: 7026 0
01/08/07 18:03:10 [Note]: 7026 0
01/08/07 18:03:11 [Note]: FSRAW library version 1.7.1021
01/08/07 18:04:00 [Note]: 2000 1012
01/08/07 18:04:00 [Note]: 2000 1012
01/08/07 18:04:00 [Note]: 2000 1012

----------

P.S. Meine Interverbindung baut sich auch nicht mehr richtig auf. Es dauert mehrere Minuten. (Wenn ich den Virusprogrammierer in die Finger kriege )

Alt 08.01.2007, 17:33   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Lästiger Trojaner - TR/Dldr.Agen.aef.21 - Standard

Lästiger Trojaner - TR/Dldr.Agen.aef.21



Okay, dann mach mal einen Check mit eScan => Direktlink, Anleitung siehe Signatur.

Du solltest dich aber sicherheitshalber schonmal auf eine Neuinstall einrichten. Warten wir aber erstmal die Ergebnisse ab.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.01.2007, 18:41   #6
Noonan
 
Lästiger Trojaner - TR/Dldr.Agen.aef.21 - Standard

Lästiger Trojaner - TR/Dldr.Agen.aef.21



Ok hier das Virustotal Ergebnis:

Link: http://www.virustotal.com/vt/en/resultadof?48e0e838a2ee69309c3d08b4368070b5


STATUS: FINISHEDComplete scanning result of "systk.dll", received in VirusTotal at 01.08.2007, 18:09:20 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.08.2007 no virus found
Authentium 4.93.8 12.30.2006 could be infected with an unknown virus
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 Downloader.Small
BitDefender 7.2 01.08.2007 Trojan.Downloader.Small.BXW
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.08.2007 Trojan.Downloader.Small-3016
DrWeb 4.33 01.08.2007 Trojan.DownLoader.14310
eSafe 7.0.14.0 01.08.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3311 01.08.2007 Win32/Logho
Ewido 4.0 01.08.2007 Downloader.Small.cyn
Fortinet 2.82.0.0 01.08.2007 W32/Small.BXW!tr.dldr
F-Prot 3.16f 01.05.2007 could be infected with an unknown virus
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.08.2007 no virus found
Kaspersky 4.0.2.24 01.08.2007 Trojan-Downloader.Win32.Small.cyn
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1963 01.08.2007 Win32/TrojanDownloader.Small.CYN
Norman 5.80.02 12.31.2007 W32/DLoader.gen5
Panda 9.0.0.4 01.07.2007 Trj/Downloader.LFO
Prevx1 V2 01.08.2007 no virus found
Sophos 4.13.0 01.05.2007 Troj/Foghor-Gen
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 Trojan/Downloader.small
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.08.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 Trojan.DL.Small.Gen.22


Aditional Information
File size: 4096 bytes
MD5: ef7b3d8ee32ce9f57d67a19265e3b5af
SHA1: 1c8139c7e5083d35c9ebf966977343996f0f9c6e

P.S. Sorry wenn ich immer ne neue Antwort schreibe. Finde die Editier Option nicht

Antwort

Themen zu Lästiger Trojaner - TR/Dldr.Agen.aef.21
adobe, antivir, appinit_dlls, avg, avira, bho, desktop, dll, einstellungen, explorer, fehlermeldung, heulen, hijack, hijackthis, immer wieder, internet, internet explorer, monitor, neustart, nvidia, problem, rundll, software, super, system, trojaner, windows, windows xp



Ähnliche Themen: Lästiger Trojaner - TR/Dldr.Agen.aef.21


  1. lästiger Werbebanner erscheint seit gestern
    Plagegeister aller Art und deren Bekämpfung - 17.11.2013 (1)
  2. Lästiger Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 20.04.2013 (12)
  3. JAVA/Dldr.Age.nad.4 und JAVA/Dldr.Agen.NA.1
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (2)
  4. Trojaner: TR/Drop.Agen.YUI.74 lässt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 13.12.2009 (14)
  5. Micro Antivirus 2009 - Lästiger Virus
    Plagegeister aller Art und deren Bekämpfung - 15.11.2008 (24)
  6. lästiger Trojaner mit AKTIVEN Elementen tuptuptup SO !!!
    Mülltonne - 25.10.2008 (0)
  7. Trojaner Vundo + TR/Dldr.Agen.ZV.1.B
    Mülltonne - 08.09.2008 (0)
  8. tr dldr.agen.zv.1.b
    Mülltonne - 10.11.2007 (0)
  9. Lästiger Trojaner (prndrv)
    Mülltonne - 15.04.2007 (1)
  10. Lästiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.08.2006 (4)
  11. TR/Dldr.Agen.QT.1.D
    Plagegeister aller Art und deren Bekämpfung - 21.06.2006 (4)
  12. Trojaner - TR\Dldr.Agen.QT.1.D
    Log-Analyse und Auswertung - 14.06.2006 (3)
  13. Brauche Hilfe Trojaner: TR/Dldr.Agen.QT.1.D
    Plagegeister aller Art und deren Bekämpfung - 13.06.2006 (9)
  14. TR/Tldr.Agen.QT.1.D. - Trojaner lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 29.05.2006 (2)
  15. Lästiger Hintergrund
    Log-Analyse und Auswertung - 16.03.2006 (1)
  16. acer pc mit lästiger voreinstellung
    Alles rund um Windows - 10.03.2006 (10)
  17. Trojaner TR/Dldr.Agen.rs.2.A
    Plagegeister aller Art und deren Bekämpfung - 22.11.2005 (3)

Zum Thema Lästiger Trojaner - TR/Dldr.Agen.aef.21 - hallo, ich habe ein ziemlich hartnäckiges Problem bei dem mir hoffentlich jemand helfen kann. Der Trojaner den ich mir eingefangen habe wird laut "AntiVir PE Classic" TR/Dldr.Agen.aef.21 genannt. Er erstellt - Lästiger Trojaner - TR/Dldr.Agen.aef.21...
Archiv
Du betrachtest: Lästiger Trojaner - TR/Dldr.Agen.aef.21 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.