Trojaner-Board - Trojaner: Downloader.Agent.AS

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner: Downloader.Agent.AS (https://www.trojaner-board.de/10223-trojaner-downloader-agent-as.html)

Trojaner: Downloader.Agent.AS

Mein Virenscanner (AVG) meldet, dass ich den Trojaner: Downloader.Agent.AS eingefangen habe. AVG kann ihn nicht entfernen, der Trojaner schreibt Ordner mit Namen wie THI5D3E.tmp oder THI2FB4.tmp in den Temp-Ordner meiner Lokalen Einstellungen (ich habe Windows 2000), scheint aber in der Registry zu nisten.
Wer kennt Abhilfe?

flossen

Hi,
die temp Dateien löschen wir später. Jetzt poste bitte erst mal ein HJT-Logfile, erstellt mit HiJackThis hier rein.

hallo cacatoa,
hat bisschchen gedauert, bin kein profi.
hier das logfile von hijyckthis:

Logfile of HijackThis v1.98.2
Scan saved at 20:25:21, on 29.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SIPPS\SIPPS.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\eAmed\DaSi\PAListen.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINNT\System32\locator.exe
C:\Programme\SIPPS\AddOn.bin
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\eAmed\PAbin\PAViewer.exe
C:\WINNT\system32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\HijackThis.exe

O2 - BHO: HostDllObj Class - {00000273-8230-4DD4-BE4F-6889D1E74167} - C:\WINNT\host.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe
O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {10000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...cab?id=9773654
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/synerg...stemchecks.cab
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...6/payload2.cab
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1106.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCFEC53-0589-4130-AF66-F2304A048B95}: NameServer = 192.168.2.1

Wäre toll, wenn du das löst.
:bussi:
flossen

Hi, kennst Du die folgenden:

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O16 - DPF: {10000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com....cab?id=9773654
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/syner...ystemchecks.cab
O16 - DPF: {20000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...06/payload2.cab
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1106.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - HKLM\..\Run: [satmat] C:\WINNT\satmat.exe
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe

Teile mit, was Dir bekannt/gewollt ist.

Das folgende in jedem Fall fixen (nach dem scan mit HJT, im abgesicherten Modus bei dem von mir genannten Punkt ein Häkchen machen und unten auf "Fix checked" clicken):
O2 - BHO: HostDllObj Class - {00000273-8230-4DD4-BE4F-6889D1E74167} - C:\WINNT\host.dll
anschließend die Datei: C:\WINNT\host.dll manuell löschen.

Hallo cacatoa,

folgendes ist mir bekannt und gewollt:

O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - https://img.web.de/v/comwin/activex/acw_1106.cab

O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe

O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe

Der Rest kann weg. Wie?
Danke!
flossen

Der Rest kann so weg, wie ich es Dir in meinem letzten Post beschrieben habe. Dann bitte neues Logfile reinstellen.

Hallo,

ich bin deinen Anweisungen gefolgt - und der Trojaner ist wohl weg, beim Virenscan keine Fehlermeldung mehr. Die Datei C\WINNT\host.dll konnte ich allerdings nicht löschen, weil sie gar nicht existierte.

Hier das aktuelle logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:41:58, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SIPPS\SIPPS.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\eAmed\DaSi\PAListen.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINNT\System32\locator.exe
C:\Programme\SIPPS\AddOn.bin
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O4 - Global Startup: Trojan Guarder.lnk = C:\Programme\Trojan Guarder\Trojan Guarder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/synerg...stemchecks.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCFEC53-0589-4130-AF66-F2304A048B95}: NameServer = 192.168.2.1

VIELEN DANK!!!
:huepp:
flossen

p.s. ich schau wieder rein; kann ich dich "höherbewerten"?

HI,
irgendwie gefällt mir das nicht.
Wo hast Du Dir den "TrojanGuarder" runtergeladen? (ZdNet?)
Hast Du eingestellt: "Alle Dateien und Ordner anzeigen" und Häkchen weggemacht bei "Geschützte Systemdateien ausblenden"?

Folgendes muß noch weg:
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetupml.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {11865A2A-649F-4FA1-8B99-B97DF8070B7C} (IWSystemchecks Control) - http://synergie.interwise.com/syner...ystemchecks.cab
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Die Dateien:
C:\PROGRA~1\MI3AA1~1\INetRepl.dll
C:\WINNT\web\related.htm

dann manuell löschen.

Warum der TrojanGuard von HJT als böse eingestuft wird, muß ichnoch überprüfen.

Hallo cacatoa:

ich hab nun die erwähnten Sachen raus, neues Lofile siehst du gleich hier.
Die beiden Dateien
C:\PROGRA~1\MI3AA1~1\INetRepl.dll und
C:\WINNT\web\related.htm"
habe ich gelöscht.
Die Ordnereinstellungen und Häkchen sind bei mir so wie du es angibst.
Auf den "Trojan Guarder" stieß ich beim Stöbern hier im Trojaner-board, ein Autor pries ihn als gut; ich suchte ihn glaub ich über google; wo ich ihn runtergeladen hab, weiß ich nicht mehr. Es ist eine Versuchs-Version zum Testen, nicht bezahlt, konnte den Trojaner auch nicht wegschaffen. Dann hab ich hier zu schreiben begonnen.

hier nun das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:16:17, on 30.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\SIPPS\SIPPS.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\eAmed\DaSi\PAListen.exe
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINNT\System32\locator.exe
C:\Programme\SIPPS\AddOn.bin
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SIPPS] C:\Programme\SIPPS\SIPPS.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PAListen.lnk = C:\eAmed\DaSi\PAListen.exe
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O4 - Global Startup: Trojan Guarder.lnk = C:\Programme\Trojan Guarder\Trojan Guarder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCFEC53-0589-4130-AF66-F2304A048B95}: NameServer = 192.168.2.1

Bin gespannt!

Hi, was ist mit dem:
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
WEnn bekannt, dann o.k.

Die beiden sind noch drauf, aber nicht böse, kannst fixen, weil unnötig:
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)

Der Trojan Guard wird als böse erkannt, ich kann ihn nicht beurteilen. DAs sagt die Auswertung:
Zum eingegebenen Programm 'Trojan Guarder.lnk (Trojan Guarder.exe)' haben wir folgendes Programm gefunden: 'Zen.A ((path to trojan))'. Trefferquote: 22 % (Resultate) Unbedingt fixen!
Frag mal Tante google.
Sonst sehe ich nichts auffälliges.
Aufgrund deines Posts schlage ich Dir vor, einen eScan (mwav.com runterladen, in einen von Dir erstellten Ordner C:\bases (wichtig) zu entpacken, upzudaten (kavupd.exe) und laufen zu lassen (mwav.com))
durchzuführen. Poste das Ergebnis bitte rein.
cacatoa

Hallo.

1. Habe escan besorgt und laufen lassen, hier das Ergebnis:

Tue Nov 30 22:10:22 2004 => Options Selected by User:
Tue Nov 30 22:10:22 2004 => Memory Check: Enabled
Tue Nov 30 22:10:22 2004 => Registry Check: Enabled
Tue Nov 30 22:10:22 2004 => StartUp Folder Check: Enabled
Tue Nov 30 22:10:22 2004 => System Folder Check: Enabled
Tue Nov 30 22:10:22 2004 => System Area Check: Disabled
Tue Nov 30 22:10:22 2004 => Services Check: Enabled
Tue Nov 30 22:10:22 2004 => Drive Check Option Disabled
Tue Nov 30 22:10:22 2004 => Scanning Type: Scan And Clean
Tue Nov 30 22:10:22 2004 => Folder Check: Disabled

...
... (hab ich gelöscht, ppasst nicht alles hier rein) ...
...

Tue Nov 30 22:10:30 2004 => Total Number of Files Scanned: 200
Tue Nov 30 22:10:30 2004 => Total Number of Virus(es) Found: 0
Tue Nov 30 22:10:30 2004 => Total Number of Disinfected Files: 0
Tue Nov 30 22:10:30 2004 => Total Number of Files Renamed: 0
Tue Nov 30 22:10:30 2004 => Total Number of Deleted Files: 0
Tue Nov 30 22:10:30 2004 => Total Number of Errors: 0
Tue Nov 30 22:10:30 2004 => Time Elapsed: 00:00:07
Tue Nov 30 22:10:30 2004 => Virus Database Date: 2004/11/30
Tue Nov 30 22:10:30 2004 => Virus Database Count: 111060

Tue Nov 30 22:10:30 2004 => Scan Completed.

(Warum hat er nur 200 files gescannt?)

2. AGFEO ist Teil meiner Telefonanlage (wenn einer anruft, poppt die Telefonnummer auf meinem Bildschirm auf)

3. wenn ich
"O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing)"
fixe, dann komm ich nicht mehr ins Internet! Ich musste das dann backupen.

Hast Du bei dem eScan alle Häkchen gesetzt, vor allem scan all local drives? Wahrscheinlich nicht. Probiers nochmal.
cacatoa

Hallo,
jetz ists gesannt.

folgende Meldungen:
Tue Nov 30 23:16:32 2004 => Total Number of Files Scanned: 68866
Tue Nov 30 23:16:32 2004 => Total Number of Virus(es) Found: 2
Tue Nov 30 23:16:32 2004 => Total Number of Disinfected Files: 0
Tue Nov 30 23:16:32 2004 => Total Number of Files Renamed: 0
Tue Nov 30 23:16:32 2004 => Total Number of Deleted Files: 0
Tue Nov 30 23:16:32 2004 => Total Number of Errors: 1
Tue Nov 30 23:16:32 2004 => Time Elapsed: 00:33:53
Tue Nov 30 23:16:32 2004 => Virus Database Date: 2004/11/30
Tue Nov 30 23:16:32 2004 => Virus Database Count: 111060

Tue Nov 30 23:16:32 2004 => Scan Completed.

File C:\bases\randreco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.
File C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\backups\backup-20041130-152038-371.dll tagged as not-a-virus:AdWare.BiSpy.m. No Action Taken.

Hi,
was macht der: randreco.exe im Verzeichnis C:\bases?
Lösche im abgesicherten Modus die beiden:
C:\bases\randreco.exe
C:\Dokumente und Einstellungen\braun\Eigene Dateien\ZIP-Ordner\backups\backup-20041130-152038-371.dll

Lade dir AdAware SE mit Sprachdateien herunter, update es und lass es laufen. Lösche alles, was es findet; auch den Quarantäne-Ordner.
Ebenso runterladen: Spybot S& D 1.3 und laufen lassen.
Berichte über die Ergebnisse.

cacatoa

@ flossen

lies Dir die Anleitung zum eScan noch mal ganz genau durch, mache was dort steht und scanne Dein System dann nochmal.

SD