Wie bekomme ich den Trojaner Dldr.Agent wieder weg? |
|
---|---|
17.12.2004, 13:55
...neu hier
Beiträge: 6 |
|
|
|
17.12.2004, 14:49
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {C74EE4E0-7821-6A4A-65E2-38C5FEA0CDEB} - C:\WINDOWS\system32\javape.dll O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\System32\9C94AE~1.DLL/MENUSEARCH.HTM O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com PC neustarten KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" http://www.bleepingcomputer.com/files/killbox.php C:\WINDOWS\System32\9C94AE~1.DLL C:\WINDOWS\System32\9C94AE~1.DLL/MENUSEARCH.HTM C:\WINDOWS\system32\javape.dll neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #eScan-Erkennungstool -->entpacke und update wie beschrieben http://www.rokop-security.de/board/index.php?showtopic=3867 <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #scanne mit Antivirus im abgesicherten Modus #und danach den Scanner eScan mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche (komplett) *.frame.crazywinnings.com *.static.topconverting.com Dann poste das neue Log. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.12.2004 um 14:55 Uhr von Sabina editiert.
|
|
|
17.12.2004, 21:47
...neu hier
Themenstarter Beiträge: 6 |
#3
Erst einmal vielen Dank für Deine Hilfe.
Ich habe versucht das alles wie vorgegeben hinzubekommen. Die Warnungen von Antivirus bleiben jetzt beim starten vom Internet Explorer auch aus.Echt super! Hier ist das neue Log,aber wie glaube noch mit kleinen"Fehlern". Kannst Du mir noch einmal antworten? Danke Logfile of HijackThis v1.99.0 Scan saved at 21:35:54, on 17.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\IZArc\IZArc.exe C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp2\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
|
17.12.2004, 23:34
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@tom761
1.gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 2.konfiguriere Antivirus: "alle Dateien" Heuristik: mittel 3.und mache ein Komplettscann 4.Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche (komplett) *.frame.crazywinnings.com *.static.topconverting.com (poste dann bitte das Scanlog) und das HijackThis. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.12.2004 um 23:35 Uhr von Sabina editiert.
|
|
|
18.12.2004, 21:49
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo Sabina,nach dem konfigurieren von Antivirus hat dieser noch eine Menge gefunden.Scheint auch alles wieder in Ordnung zu sein,nur diese 2 Einträge *.frame.crazywinnings.com
*.static.topconverting.com lassen sich einfach nicht entfernen und tauchen im Logfile immer wieder auf Habe diese 2Einträge schon beim letzen Mal im Ordner : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche (komplett) gelöscht.In diesem Ordner sind sie auch nicht mehr zu sehen,nur wie gesagt im Logfile. Logfile of HijackThis v1.99.0 Scan saved at 11:40:33, on 18.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\IZArc\IZArc.exe C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp4\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
18.12.2004, 22:29
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@tom761
(poste dann bitte das Scanlog vom Antivirus) (denn da wird wahrscheinlich was angezeigt, was zwar erkannt, aber NICHT geloescht wurde) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 22:30 Uhr von Sabina editiert.
|
|
|
18.12.2004, 22:40
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@tom761
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Gehe in die Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche den kompletten Schluessel: *.frame.crazywinnings.com *.static.topconverting.com schliesse die Registry und starte neu. dann berichte, ob die 015-Eintraege im HijackThis noch erscheinen. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.12.2004 um 22:43 Uhr von Sabina editiert.
|
|
|
18.12.2004, 23:23
...neu hier
Themenstarter Beiträge: 6 |
#8
Hallo Sabina
Habe XP Wiederherstellung deaktiviert. Ich habe noch einmal nachgesehen,aber in der Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ ist der Schlüssel *.frame.crazywinnings.com *.static.topconverting.com nicht mehr vorhanden!Ich hatte ihn schon beim letzten Mal gelöscht und er ist dort nicht wieder aufgetaucht. Aber leider auch jetzt noch im HijackThis. Gruß Thomas |
|
|
18.12.2004, 23:35
Ehrenmitglied
Beiträge: 29434 |
#9
Ich verstehe das nicht.
o.k. Lade: Giant-Antispyscanner [15 Tage free] http://www.giantcompany.com/(lfkvww55pduddm45u110ti45)/download.aspx?skip=true&prodID=70 #Ad-aware SE Personal 1.05 Updated-->poste dann das Log vom Scann http://fileforum.betanews.com/detail/965718306/1 Gehe in den abgesicherten Modus und scanne mit den 2 Tools Scanne auch noch mal mit Antivirus (update ihn vorher auf den neusten Stand)und berichte, ob noch was geloescht wurde. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
19.12.2004, 01:48
...neu hier
Themenstarter Beiträge: 6 |
#10
Danke,ich glaube Du hast es geschafft!
Ad-aware hat noch was gefunden: Troj-Agent.BIHKEY_LOCAL_Maschine/Software/Regkey Troj-Agent.BIHKEY_LOCAL_Maschine/Software/RegValue Habe alles gelöscht und die 015 Einträge sind weg,siehe Anhang Logfile of HijackThis v1.99.0 Scan saved at 01:39:57, on 19.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\IZArc\IZArc.exe C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp4\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
|
19.12.2004, 12:53
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@tom761
Wunderbar Alles Gute fuer dich + PC #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.12.2004 um 12:55 Uhr von Sabina editiert.
|
|
|
19.12.2004, 13:37
...neu hier
Themenstarter Beiträge: 6 |
#12
Hallo Sabina,ohne Deine Hilfe hätte ich wohl alles formatieren müssen.
Also nochmals vielen,vielen Dank Thomas Ps..Den Browser Firefox habe ich schon im Einsatz |
|
|
Hier mein Logfile
Logfile of HijackThis v1.98.2
Scan saved at 12:54:42, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp1\HijackThis.exe
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C74EE4E0-7821-6A4A-65E2-38C5FEA0CDEB} - C:\WINDOWS\system32\javape.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\System32\9C94AE~1.DLL/MENUSEARCH.HTM
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com