Trojaner Dldr.Agent.Ex geht nicht weg das Ding

#1 Hallo zusammen,

hab mir ein Pferdchen eingefangen und das Ding ist nicht wegzukriegen.

Komisch ist, dass ich, wenn ich nicht im inet bin, meine Scanner durchlaufen lassen kann und nichts gefunden wird.
Wenn ich jedoch online gehe, dann meldet mir Antivir, dass ich obig benannnten Trojaner Dldr.Agent.Ex in meinen Temporary inet Dateien hab.

Hab iexplorer 6.

Hier mein HijackLogFile:

Logfile of HijackThis v1.99.1
Scan saved at 12:44:17, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\NETGEAR\Utility\WG511WLU.exe
D:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Antivir\AVGNT.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivir\AVGNT.EXE /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA52C46A-E1E2-4B51-8CB5-BC82899A149D}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke schonmal für die Hilfe!

Grüße Charlie

PS: Bin kein Profi, bitte einfach schreiben ;-)

PPS: hab diesen Eintrag bei Hijack schon öfters gefixt, und er kommt jedes mal wieder:
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA52C46A-E1E2-4B51-8CB5-BC82899A149D}: NameServer = 217.237.151.161 217.237.151.33

#2 Hallo@Charlie2000

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html




dann mache einen Onlinescan mit panda (falls dein Antivirus "meckert" --> nicht beachten
http://virus-protect.org/onlinescan.html
und berichte vom Scan
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

der OnlineScan mit Panda funktioniert nicht. Nachdem ich alles so gemacht hab wie auf der Homepage beschrieben, kommt, nachdem ich auf "scan Harddrives" gehe, nach 1 sec schon das Ergebnis mit "non infected", aber bei durchsuchten files steht "0"

mit cCleaner hab ich schon vorher das oben benannte gelöscht, der Trojaner kam aber immer wieder. Habs auch schon im abgesicherten Modus gemacht, und die Recovery hab ich schon lange abgeschaltet.

Grüße und Danke

Charlie

#4 Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit