Trojanisches Pferd TR/Agent.AB

#0
27.05.2004, 17:09
Member

Beiträge: 17
#1 Hallo. Vorhin kam die Meldung von AV Guard

Zitat

27.05.2004,16:37 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB!
C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\MFABE1EZ\FON14006[1].EXE
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Aber unter dem Verzeichnis finde ich diese Datei nicht.
Hab ejetzt viel im I-net durchgeschaut, aber habe nichts hilfreiches gefunden. Kann mir da jemand helfen?
Oder was muss ich tun, damit mir geholfen werden dann?
nicht so der Pc-Profi ;)

MfG
Andy
Seitenanfang Seitenende
27.05.2004, 17:15
Moderator

Beiträge: 7805
#2 Was passiert denn, wenn du den Internet Explorer schliesst und das Verzeichniss mit dem Hauptprogramm ueberpruefst?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2004, 17:16
Member

Themenstarter

Beiträge: 17
#3 Typische "Die Seite kann nicht angezeigt werden"-Seite

edit: also ich gebe das

C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\MFABE1EZ\FON14006[1].EXE

in das Dokumente und Einstellungen-Fenster oben ein


Ich poste gleich ma hijack
Dieser Beitrag wurde am 27.05.2004 um 17:36 Uhr von Andy87 editiert.
Seitenanfang Seitenende
27.05.2004, 17:45
Moderator

Beiträge: 7805
#4 Nein, mache das anders, tarte den Explorer gehe nach C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS "druecke" auf Andreas mit der rechten Maustaste und waehle "Virensuche mit Antivir" schau mal, ob er dort auch gefunden wird.

Den Cache an sich kannst du einfach aus dem Internetexplorer heraus ueber Extras, Internetoptionen, Dateien loeschen, Alle offlineinhalte loeschen anhaken und dann mit OK bestaetigen, loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2004, 17:59
Member

Themenstarter

Beiträge: 17
#5 Also an meinem Rechner selbst habe ich jetzt noch keine Änderungen vorgefunden bzw. bemerkt. :-/

Nur irgendwie hängt sich mein IE auf, wenn ich die Dateien löschen will....Weil das soviele sind vielleicht? Weiß es nich.

AV läuft

Ad-aware und Spybot hab ich drüberlaufen lassen.

edit:

AV findet bei "Andreas" nichts.
Dateien löschen über IE geht nicht. Hängt sich auf. "Keine Rückmeldung-Kacke"
Habs mal lange gelassen, aber tut sich nüschts ;)




Logfile of HijackThis v1.97.7
Scan saved at 18:46:28, on 27.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\AT-AR215\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Downloads\zone_german\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de./
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\AT-AR215\cFosDNT.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F444F4EF-8C24-4756-BBAA-A19D7CC48417}: NameServer = 217.237.151.161 194.25.2.129



so.
Dieser Beitrag wurde am 27.05.2004 um 18:43 Uhr von Andy87 editiert.
Seitenanfang Seitenende
27.05.2004, 19:41
Moderator

Beiträge: 7805
#6 Fix bitte das( anhaken und "fix checked" druecken):
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

Dann gehe mal auf datentraegerbereinigung(start/Zubehoer/systemprogramme/datentraegerbereinigung) dort waehlst du Laufwerk C: und bei "zu loeschenden dateien" hakst du , wen nicht sowieso schon geschehen, "Temporary internet fiies" an und bestaetigst das mit OK.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2004, 19:46
Member

Themenstarter

Beiträge: 17
#7 Ok habe ich getan.

Sonst ist alles OK in dem Log?
Aber ich frage mich dann, wo der Trojaner ist? :-/
Seitenanfang Seitenende
27.05.2004, 20:11
Moderator

Beiträge: 7805
#8 antivir hat ihn ja eh abgefangen, bevor er aktiv geworden ist. Das Daten aus dem Cache "verschwinden" ist auch nicht weiter unueblich.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2004, 20:13
Member

Themenstarter

Beiträge: 17
#9 Dann will ich mich mal herzlichst bei dir danken...

Vielen Dank ;)


EDIT:

Hi Leute.

Kam nochma die Meldung. Dieses Mal habe ich diese Datei auch gefunden:

29.05.2004,04:06 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB!
C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\YQ0ATUDN\LOT64106[1].EXE
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
29.05.2004,04:11 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB!
C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\YQ0ATUDN\LOT64106[1].EXE
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!


Habe sie gefunden, aber könnte sie nicht löschen. Was soll ich jetzt machen?

Mein Hijack-Log:

Logfile of HijackThis v1.97.7
Scan saved at 04:32:18, on 29.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AT-AR215\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\Pflege\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de./
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\AT-AR215\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F444F4EF-8C24-4756-BBAA-A19D7CC48417}: NameServer = 217.237.151.161 194.25.2.129
Dieser Beitrag wurde am 29.05.2004 um 04:29 Uhr von Andy87 editiert.
Seitenanfang Seitenende
29.05.2004, 12:45
Moderator

Beiträge: 7805
#10 Das Log sieht nach wie vor sauber aus. Wenn du an die Datei "herankommst", schicke sie mal an virus@protecus.de Vieleict liegt sie ja auch schon im Quarantaeneverzeichnis.

Es wird wohl so langsam Zeit, das du auf Mozilla oder Opera umsteigst......
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.05.2004, 13:34
Member

Themenstarter

Beiträge: 17
#11 Dann ziehe ich mir mal Opera.

Aber ich kann doch keine .exe-Datei per email verschicken :-/

Du meinst doch im Anhang der Mail oder?


Also jetzt habe ich gerade bemerkt, dass diese .exe-Datei nicht mehr da ist, wo sie gestern war
Dieser Beitrag wurde am 29.05.2004 um 14:00 Uhr von Andy87 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: