Trojanisches Pferd TR/Agent.AB |
||
---|---|---|
#0
| ||
27.05.2004, 17:09
Member
Beiträge: 17 |
||
|
||
27.05.2004, 17:15
Moderator
Beiträge: 7805 |
#2
Was passiert denn, wenn du den Internet Explorer schliesst und das Verzeichniss mit dem Hauptprogramm ueberpruefst?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.05.2004, 17:16
Member
Themenstarter Beiträge: 17 |
#3
Typische "Die Seite kann nicht angezeigt werden"-Seite
edit: also ich gebe das C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\MFABE1EZ\FON14006[1].EXE in das Dokumente und Einstellungen-Fenster oben ein Ich poste gleich ma hijack Dieser Beitrag wurde am 27.05.2004 um 17:36 Uhr von Andy87 editiert.
|
|
|
||
27.05.2004, 17:45
Moderator
Beiträge: 7805 |
#4
Nein, mache das anders, tarte den Explorer gehe nach C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS "druecke" auf Andreas mit der rechten Maustaste und waehle "Virensuche mit Antivir" schau mal, ob er dort auch gefunden wird.
Den Cache an sich kannst du einfach aus dem Internetexplorer heraus ueber Extras, Internetoptionen, Dateien loeschen, Alle offlineinhalte loeschen anhaken und dann mit OK bestaetigen, loeschen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.05.2004, 17:59
Member
Themenstarter Beiträge: 17 |
#5
Also an meinem Rechner selbst habe ich jetzt noch keine Änderungen vorgefunden bzw. bemerkt. :-/
Nur irgendwie hängt sich mein IE auf, wenn ich die Dateien löschen will....Weil das soviele sind vielleicht? Weiß es nich. AV läuft Ad-aware und Spybot hab ich drüberlaufen lassen. edit: AV findet bei "Andreas" nichts. Dateien löschen über IE geht nicht. Hängt sich auf. "Keine Rückmeldung-Kacke" Habs mal lange gelassen, aber tut sich nüschts Logfile of HijackThis v1.97.7 Scan saved at 18:46:28, on 27.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\DitExp.exe C:\Programme\AT-AR215\cFosDNT.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Eigene Downloads\zone_german\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de./ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [cFosDNT] C:\Programme\AT-AR215\cFosDNT.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F444F4EF-8C24-4756-BBAA-A19D7CC48417}: NameServer = 217.237.151.161 194.25.2.129 so. Dieser Beitrag wurde am 27.05.2004 um 18:43 Uhr von Andy87 editiert.
|
|
|
||
27.05.2004, 19:41
Moderator
Beiträge: 7805 |
#6
Fix bitte das( anhaken und "fix checked" druecken):
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART Dann gehe mal auf datentraegerbereinigung(start/Zubehoer/systemprogramme/datentraegerbereinigung) dort waehlst du Laufwerk C: und bei "zu loeschenden dateien" hakst du , wen nicht sowieso schon geschehen, "Temporary internet fiies" an und bestaetigst das mit OK. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.05.2004, 19:46
Member
Themenstarter Beiträge: 17 |
#7
Ok habe ich getan.
Sonst ist alles OK in dem Log? Aber ich frage mich dann, wo der Trojaner ist? :-/ |
|
|
||
27.05.2004, 20:11
Moderator
Beiträge: 7805 |
#8
antivir hat ihn ja eh abgefangen, bevor er aktiv geworden ist. Das Daten aus dem Cache "verschwinden" ist auch nicht weiter unueblich.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.05.2004, 20:13
Member
Themenstarter Beiträge: 17 |
#9
Dann will ich mich mal herzlichst bei dir danken...
Vielen Dank EDIT: Hi Leute. Kam nochma die Meldung. Dieses Mal habe ich diese Datei auch gefunden: 29.05.2004,04:06 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB! C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\YQ0ATUDN\LOT64106[1].EXE Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. 29.05.2004,04:11 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB! C:\DOKUMENTE UND EINSTELLUNGEN\ANDREAS\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\YQ0ATUDN\LOT64106[1].EXE [INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben! Habe sie gefunden, aber könnte sie nicht löschen. Was soll ich jetzt machen? Mein Hijack-Log: Logfile of HijackThis v1.97.7 Scan saved at 04:32:18, on 29.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\AT-AR215\cFosDNT.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\teamspeak2_RC2\TeamSpeak.exe C:\Dokumente und Einstellungen\Andreas\Desktop\Pflege\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de./ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [cFosDNT] C:\Programme\AT-AR215\cFosDNT.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F444F4EF-8C24-4756-BBAA-A19D7CC48417}: NameServer = 217.237.151.161 194.25.2.129 Dieser Beitrag wurde am 29.05.2004 um 04:29 Uhr von Andy87 editiert.
|
|
|
||
29.05.2004, 12:45
Moderator
Beiträge: 7805 |
#10
Das Log sieht nach wie vor sauber aus. Wenn du an die Datei "herankommst", schicke sie mal an virus@protecus.de Vieleict liegt sie ja auch schon im Quarantaeneverzeichnis.
Es wird wohl so langsam Zeit, das du auf Mozilla oder Opera umsteigst...... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.05.2004, 13:34
Member
Themenstarter Beiträge: 17 |
#11
Dann ziehe ich mir mal Opera.
Aber ich kann doch keine .exe-Datei per email verschicken :-/ Du meinst doch im Anhang der Mail oder? Also jetzt habe ich gerade bemerkt, dass diese .exe-Datei nicht mehr da ist, wo sie gestern war Dieser Beitrag wurde am 29.05.2004 um 14:00 Uhr von Andy87 editiert.
|
|
|
||
Zitat
Aber unter dem Verzeichnis finde ich diese Datei nicht.Hab ejetzt viel im I-net durchgeschaut, aber habe nichts hilfreiches gefunden. Kann mir da jemand helfen?
Oder was muss ich tun, damit mir geholfen werden dann?
nicht so der Pc-Profi
MfG
Andy