TR/Dldr.Agent.hm - Bekomme Trojaner nicht weg

#0
23.01.2005, 14:40
...neu hier

Beiträge: 3
#1 Hallo, kann mir jemand helfen? AntiVir-Scan zeigt mir den Trojaner TR/Dldr.Agent.hm an. Aussage: Virus wird nicht gelöscht oder repariert!
Außerdem wird nach dem Hochfahren der Wurm Spybo.374000.B erkannt. Ich lösche ihn jedes Mal, aber bei jedem Neustart ist er wieder da.

Hier die Log-Datei zum HijackThis-Scan:

Logfile of HijackThis v1.99.0
Scan saved at 14:17:17, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\winmedplay.exe
C:\WINDOWS\system32\rundlI32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\sven\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dict.leo.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [Windows Updater] iexplorerrs.exe
O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe
O4 - HKLM\..\Run: [Windows TM] rundlI32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\RunServices: [Windows Updater] iexplorerrs.exe
O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe
O4 - HKLM\..\RunServices: [Windows TM] rundlI32.exe
O4 - HKLM\..\RunOnce: [AIM95 Startup] aim95.exe
O4 - HKLM\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe
O4 - HKCU\..\Run: [Windows Updater] iexplorerrs.exe
O4 - HKCU\..\Run: [Windows TM] rundlI32.exe
O4 - HKCU\..\RunServices: [Windows Updater] iexplorerrs.exe
O4 - HKCU\..\RunOnce: [Windows TM] rundlI32.exe
O4 - HKCU\..\RunOnce: [AIM95 Startup] aim95.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Schonmal vielen Dank für eure Hilfe!

pploddum
Seitenanfang Seitenende
23.01.2005, 15:14
Moderator

Beiträge: 7805
#2 Fix mal alles, was hier als boese oder unbekannt identifiziert wird:
http://hijackthis.de/logfiles/83f990582bca75739a37e223249a8063.html

Bis auf diesen, den nicht fixen:

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.01.2005, 15:52
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Ralf,

danke erstmal für deine Antwort.
Gute Nachricht: Es wird durch AntiVir beim Hochfahren kein Wurm mehr gemeldet.
Schlechte Nachricht: Beim Virenscan wird nach wie vor der TR/Dldr.Agent.hm angegeben. Hast du noch eine Idee?

Danke und viele Grüße
pploddum
Seitenanfang Seitenende
23.01.2005, 16:11
Moderator

Beiträge: 7805
#4 Schau im Report nach, wo dieser Trojaner gemeldet wid und loesche ihn.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.01.2005, 10:28
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo nochmal.


Danke, der Trojaner ist weg!
AntiVir zeigt keine Viren mehr an!

Allerdings habe ich jetzt nochmal mit EScan einen Durchlauf gemacht und 7 Viren angezeigt bekommen. Hier die Liste:

File C:\WINDOWS\system32\rundlI32.exe infected by "Backdoor.Win32.Rbot.ft" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\admdll.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken.
File C:\WINDOWS\system32\raddrv.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken.
File C:\WINDOWS\system32\svzhost.exe infected by "Backdoor.Win32.Wootbot.s" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winmedplay.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winpfd.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\sven\LOKALE~1\Temp\temp.fr4C39 infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.


Hier auch noch der aktuelle HijackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 09:41:59, on 25.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Dokumente und Einstellungen\sven\Desktop\Sicherheit_Verhütung\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dict.leo.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe


Kann mir jemand helfen? Ich bin schwer verzweifelt und möchte einfach wieder ein sicheres Gefühl haben.

Danke und schöne Grüße
pploddum
Seitenanfang Seitenende
25.01.2005, 10:44
Moderator

Beiträge: 7805
#6 Sicheres Gefuehl bekommst du bei der Malware nur durch neu aufsetzen!;) Ansonsten obige Dateien mit Killbox loeschen und Passwoerter aendern.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: