TR/Lager.AQ.1 ...Klappe, die 2te
 

hier mein soeben erstelltes log file. ich hab seit gestern probleme mit TR/Lager.AQ.1 gehabt. heute hab ich die 4 dateien (siehe) per killbox gelöscht...für eine gewisse zeit war auch ruhe. seit einiger zeit läuft der kaspersky online scan. und vor wenigen minuten hat mit AV die meldung angezeigt, dass TR/Lager.AQ.1 und TR/Dldr.Small.ciw.5 gefunden wurden. diesmal nich in system32 sondern in C:\System Volume...


ich werde wohl nich um ein neuaufsetzen herumkommen, oder???

Logfile of HijackThis v1.99.1
Scan saved at 17:49:31, on 23.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
G:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ortskontrollfahrt.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119527044609
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - h**p://f008.mail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74149DD2-729A-40DD-917C-CE04B35F2381}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe




Kaspersky fand zudem noch das:

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\812Z4567\parad[1].raw Infizierte Objekte: Trojan-Proxy.Win32.Lager.aq

NEIN wirst du nicht drumherum kommen! Diese Zeile läuft immer noch lustig vor sich hin:

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

soviel dazu ..

TR/LAGER.AD2

die Hintertür ist schon zulange offen !

Viel Spass beim formatieren !

Hallo zusammen,
ich hänge mich mal an den aktuellsten thread zum Thema Lager.aq bzw. taskdir.dll.
Ein Freund von mir hatte das Ding gestern auch auf dem Rechner und er wurde ihn erstmal nicht mehr los, obwohl Antivir ihn immer wieder fand und versuchte zu löschen.
Hier mal mein Weg, wie er verschwand:

1. Antivir deaktivieren!!! Es hilft eh nix mehr wenn das Teil zugeschlagen hat.
2. Antivir neu aus dem Netz herunterladen und noch NICHT entpacken
3. Internetverbindung kappen
4. Antivir deininstallieren
5. Reboot im abgesicherten Modus (F8)
6. Löschen von Taskdir.dll aus dem System32-Verzeichnis
falls vorhanden natürlich auch taskdir.exe löschen
7. Löschen der beiden Color table Einträge aus HKCU (direkt im Root)
8. Neustart des Systems und Antivir neu installieren
9. Full-Scan machen
10. Internetverbindung wieder aufmachen und Antivir Update runterladen
11. nochmal scannen.

Ich hab etwas gebraucht um zu verstehen was der Trojaner macht. Er reaktiviert sich offenbar immer wieder weil er sich an den Virenscanner hängt.

Ach ja, die DLL war nur im abgesicherten Modus mit dem Explorer zu finden.
Der process explorer von sysinternals brachte die dll nicht direkt, wohl aber beim Suchen danach als Anhang so ziemlich jeder gestarteten Applikation.

Zwischenzeitlich hatte ich auch das Gefühl wir müßten neu aufsetzen weil etliche Programme nicht mehr starten wollten. Nachdem der Trojaner nun runter ist funktioniert alles wieder einwandfrei...

Viel Glück

Sven

PS.: Ich habe 3 Stunden gebraucht um diese Lösung zu finden, ich hoffe bei euch klappt es mit der Anleitung schneller! Lag aber auch da dran daß bis 20 Uhr bei Google kein Treffer zur taskdir.dll angezeigt wurde ;-)

Hallo,

[...]This Trojan program enables a remote malicious user to use the infected machine as a proxy server. [...]
= Neuinstallation!

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Die Anleitung zum Neuaufsetzen ist in meiner Signatur verlinkt!

Thema Datensicherung:
http://www.trojaner-board.de/showpos...8&postcount=11

Gruß

Schrulli

Hi nochmal,
in keiner Quelle der diversen Antiviren-Hersteller ist bei den unterschiedlichen Abarten des Proxy.Lager was von Neuinstallation zu lesen. Wenn man sich an die Arbeitsschritte in den Links hält, entsprechend die Registry bereinigt (Run-Keys!) und die gelisteten Dateien löscht, gibt es keinen Grund für eine Neuinstallation!!!
Ansonsten müßte man bei jedem Virus-Infekt die Kiste neu aufsetzen.

Ich empfehle in solchen Fällen den PC nur noch mit einer Bart PE-CD zu starten. Noch hat es kein Virus geschafft sich auf einer CD-ROM einzunisten die als Single Session gebrannt wurde. :headbang:

Es soll aber auch Leute geben die gerne PCs neu installieren:kloppen:

In diesem Sinne

Sven

@Vincent05,
gibt es keinen Grund für eine Neuinstallation!
Weißt du wielange das Ding in deinem System schon aktiv war?


Ansonsten müßte man bei jedem Virus-Infekt die Kiste neu aufsetzen.
Nur bei die mit Backdooreigenschaften.


nur noch mit einer Bart PE-CD zu starten.
nur mit PE zu arbeiten dürfte auf Dauer nerven, ist doch IMHO very suitable for PC maintenance tasks.


Es soll aber auch Leute geben die gerne PCs neu installieren
Es gibt auch genügend die die es nicht tun , die es aber tun sollte:headbang:

Halte deine Meinung für sehr gefährlich, da du nicht weiß wieviel Schaden schon angerichtet würde.

chaosman:mad:

Hi,
bitte definiere den Begriff "Schaden". Ein durch einen Virus verursachten Schaden sehe ich erstmal bei Programmen die anschließend nicht mehr laufen.
So lange ein Virenscanner einen Virus entfernen kann, muß ich mich drauf verlassen daß der dann auch tatsächlich weg ist, sonst brauche ich keinen Virenscanner mehr.
Sollte der Trojaner weiteren Schadcode eingeschleust haben, so kann man nur auf die Qualität der eingesetzten Virenscanner hoffen, denn de facto kann solcher Schadcode auch ohne dein Wissen auf das System gelangen, sofern der Virenscanner diesen Code nicht erkennt!
Bliebe also die Frage nach Huhn und Ei... wenn ich ein System neu aufsetze, muß ich hinterher (im Normalfall mit Hilfe einer Internetverbindung) die aktuellen Virenscanner und Securitypatches neu einspielen. Und in dem jungfräulichen Zustand ist das System allemal ungeschützter und fängt sich binnen Minuten die ersten neuen Viren und Trojaner ein.

In diesem Sinne

Sven

Hallo,

@Vincent05: meinst Du Deinen letzten Post ernst :confused:

Gruß

Schrulli

Das ist durchaus kurzsichtig. Massenmails nötigen zu Filtern und erhöhen die Kosten der ISPs. Zudem führen die Filter wiederum dazu, dass wichtige Mails unter Umständen im Junkordner verschwinden. Alleine dadurch ist schon genug finanzieller aber auch rechtlicher Schaden entstanden. Weitere rechtliche Bedrohung entsteht bei Installation eines versteckten Proxies etc etc ... nicht zu vergessen die Bedrohung anderer Rechner durch einen verseuchten...

Wieder kurzsichtig. Wären die Hersteller in der Lage erkannte Viren auch wirklich zu 100% vom System zu entfernen, gäbe es 80% der Threads in diesem Forum nicht. BTW: es gibt auch Leute die ohne Virenscanner auskommen, weil sie sich erst gar keine Schadsoftware auf den Rechner holen.

Nun ja, also wenn Du einen ungepatchten Rechner aufs Netz loslässt, ist Dir auch nicht mehr zu helfen. Grundsätzlich gilt, dass ein Rechner alle relevanten Updates benötig _bevor_ er das erste Mal ans Netz geht. Wo Du die Patches herbekomst ist Dein Problem. Manche denken mit und haben die Sachen auf einer CD rumliegen.

Hallo Vincent05,

Ein durch einen Virus verursachten Schaden sehe ich erstmal bei Programmen die anschließend nicht mehr laufen.
Das ist dann doch dein geringstes Problem, wir reden hier über Backdoors. http://cosgan.de/images/smilie/boese/p030.gif
Das hier ist viel schlimmer.

wenn ich ein System neu aufsetze, muß ich hinterher (im Normalfall mit Hilfe einer Internetverbindung) die aktuellen Virenscanner und Securitypatches neu einspielen. Und in dem jungfräulichen Zustand ist das System allemal ungeschützter und fängt sich binnen Minuten die ersten neuen Viren und Trojaner ein.
Ein völlig neuer Erkenntnis:blabla:
Lese dich bitte hier mal durch .

chaosman

Hallo,
Schwerer Dachschaden !!
Man merkt das auf uns alle zukommende Wochenende deutlichst !
Ein jeder kommt vorbei und kübelt seine aufgeschnappten Schlagworte in die Runde :pukeface:
Irrlicht

TR/Proxy.Lager.AQ.1 zerstören!

JUHU Ich habe es geschafft!

Einfach von www.symantec.de im Bereich "Virus Entfernungsprogramm downloaden".

Den Patch Trojan.Abwiz downloaden und ausführen dann warbei mir war der TR/Proxy.Lager.AQ.1 weg.

Gruß

Hallo,

@KaiausKöln: Du hast die vorhergehenden Posts nicht gelesen. Zurück zum Start.
Wähne Dich ruhig in der trügerischen Sicherheit, aber allein. :balla:

Gruß

Schrulli

Ich brauch -als Ahnungsloser- mal Eure Hilfe.

Bei mir läuft "Internet Security" von gdata. Er fragt mich nun ständig, ob ich "taskdir.exe" erlaufen will oder nicht. Nach der Recherche habe ich das nun dauerhaft nicht erlaubt.

Was nun? Muss ich noch etwas unternehmen, oder genügt es, dass dieses Teil bei mir nicht zur Ausführung kommt?
Kann dieses Ding stören, ohne dass es läuft?

Wie bereits gesagt, bin kein Insider, also -sollte mir jemand helfen können/wollen, bitte nicht zuuuu kompliziert...:headbang:

Gruß
tm

@tmpernod
an der Stelle wird einen hifreichen Beitrag für OP erwartet. Benutze bitte Google-Suche, Dein Problem ist hier beschrieben, wenn es nicht hilft - öffne einen neuen Thread.
Versuche im abgesicherten Modus zu starten, bereinige deinen PC vom Müll und lasse AVK alle Festplatten und alle Dateitypen scannen. Ändere die Einstellungen in Deinem Explorer und versuche, die Datei manuell zu entfernen oder in taskdir.txt umzubenennen.