Trojaner-Board - hilfe habe tr/dldr.agent eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - hilfe habe tr/dldr.agent eingefangen (https://www.trojaner-board.de/11793-hilfe-habe-tr-dldr-agent-eingefangen.html)

hilfe habe tr/dldr.agent eingefangen

hallo

habe mir den trojaner eingefangen und der nervt :crazy:

Logfile of HijackThis v1.99.0
Scan saved at 20:35:12, on 07.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\KEYBDMGR.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.594\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\kjabd.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\kjabd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\kjabd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\kjabd.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\kjabd.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\kjabd.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=14851
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {F05AEE59-1D1C-D18A-A8AF-CA446E213233} - C:\WINDOWS\CRWH32.DLL
O2 - BHO: Class - {47B4BFC7-9850-7970-FDEC-270ADE92AA5F} - C:\WINDOWS\CRWH32.DLL
O2 - BHO: Class - {9155F4A4-C9AF-713E-C968-01E619660034} - C:\WINDOWS\CRWH32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Keyboard Manager] C:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

kann jemand helfen :heulen:
danke

@ smile00

es ist fraglich, ob Du nur diesen Trojaner auf dem Rechner hast. Überprüfe daher Deinen Rechner mit dem eScan.

Erstelle dazu erstmal einen neuen Ordner (=Verzeichnis) "bases" auf der Festplatte "c:" . Downloade den eScan. Entpacke den eScan in den neuen Ordner. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Beachte dazu die Anleitung im Link zum eScan. Der eScan dauert ca 1 Stunde. Er löscht keine Malware, das wird bei uns am TB von Hand gemacht.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

also das hat er gefunden

Fri Jan 07 22:15:47 2005 => File C:\WINDOWS\CRWH32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

ahja. diese datei im abgesicherten modus löschen. damit du die datei aber siehst in einem ordner dass machen:
1. extras klicken, ordneroptionen klicken
2. ansicht klicken
3. geschützte systemdateien ausblenden, haken weg
inhalte von systemordner anzeigen, haken hin
runterscrollen
alle dateien und ordner anzeigen, selektieren.
~edit~ aaah 35viren.. alle die er gefunden hat, bitte manuell (also selber) löschen. ~edit~

hab ich noch vergessen gehabt

Fri Jan 07 22:34:42 2005 => Total Files Scanned: 10865
Fri Jan 07 22:34:42 2005 => Total Virus(es) Found: 35

Zitat:

Zitat von smile00

Fri Jan 07 22:34:42 2005 => Total Files Scanned: 10865
Fri Jan 07 22:34:42 2005 => Total Virus(es) Found: 35

--> und wie heissen diese 35 Viren? "Öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

muß man jeder einzeln suchen und jedes mal markieren und kopieren ?oder geht das auch einfacher,nur mal so die frage

jede Datei einzeln suchen und hier ins Forum kopieren. Aber nur falls Du noch weiteren Rat von uns möchtest.

File C:\_RESTORE\TEMP\A0008229.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008229.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008232.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008242.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008244.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008257.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008259.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008283.CPY infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008289.CPY infected by "Trojan-Downloader.Win32.Small.aef" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008306.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008308.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008311.CPY infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008315.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008317.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008324.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008326.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008355.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0008357.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\TEMP\A0009307.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken
File C:\_RESTORE\TEMP\A0009309.CPY infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
=> File C:\_RESTORE\TEMP\A0009317.CPY infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.

und so weiter

File C:\_RESTORE\ARCHIVE\FS52.CAB infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\ARCHIVE\FS38.CAB infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: No Action Taken.
File C:\_RESTORE\ARCHIVE\FS54.CAB infected by "TrojanDropper.VBS.Inor.a" Virus. Action Taken: No Action Taken.

mal ne frage kann man die zwei verzeichnise restore\temp und archive nicht ein fach löschen?
für was sind die eigentlich gut? :confused:

Systemwiederherstellung deaktivieren http://www.bsi.bund.de/av/texte/wiederher_me.htm -> Neustart -> Systemwiederherstellung wieder aktivieren

@smile00
diese dateien
C:\_RESTORE\TEMP\A0008283.CPY infected by "Trojan.Win32.Dialer.eb
C:\_RESTORE\ARCHIVE\FS38.CAB infected by "Trojan.Win32.Dialer.eb
auf diskette oder cd sichern zwecks beweissmittel
um die andere los zu werden reicht es, die systemwiederherstellung zu deaktivieren, neu booten, sytemwiederherstellung zu aktivieren.
poste anschließend ein neues HJT logfile
chaosman