JS/Dldr.Agent.14527 ??

#1 Hallo zusammen

Ich hab da nur mal eine Frage !
Seit gestern meldet sich beim öffnen unserer HP Avir und zeigt folgendes
gefundenes Objekt an !! JS/Dldr.Agent.14527

S/Dldr.Agent.14527 lässt sich problemlos in Quarantäne verschieben und dann
auch löschen ;-)

Muss der Meldung nach mit unserer Shoutbox zusammenhängen die sich auf
unserer HP befindet.

Mich würde brennend interessieren was das für nen Ding ist Dldr lässt ja meistens auf nen Trojaner schliessen mich irritiert aber das JS am anfang was ja eigentlich für Javascript steht oder irre ich mich da ??

Was ist das nun ??
Gefährlich oder nicht ??

Vielen Dank schon mal im voraus und

LG Sirius

PS.: Anbei mal nen Screen von der Meldung

#2 Sirius1964

arbeite das ab und poste hier die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Guten Morgen ;-)

Also mal vorweg so wie es aussieht hat fast jeder Besucher dieses Problem der unsere HP besucht aber erst dann sobald Er diese Shoutbox angeclickt hat. Das ganze hat vor 3 Tagen angefangen.

Logfile von HiJack:

Logfile of HijackThis v1.99.1
Scan saved at 07:07:26, on 16.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Sirius\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F510841-B11B-44FB-B21F-C71C471A64EC}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


So hier nun das Logfile von Combofix


Start Time= 16.03.2007 8:22:22,98

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-16 07:21:54 ( .D... ) "C:\Programme\CleanUp!"
2007-03-10 09:11:14 ( .D... ) "C:\Programme\Teamspeak2_RC2"
2007-03-07 19:12:02 ( .D... ) "C:\Programme\EVEREST Home Edition"
2007-03-07 18:34:02 ( .D... ) "C:\Programme\XPcleanv5"
2007-03-07 16:46:02 ( .D... ) "C:\Programme\Gemeinsame Dateien\Logitech"
2007-03-07 16:46:00 ( .D... ) "C:\Programme\Logitech"
2007-03-07 06:01:50 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Teleca"
2007-03-07 06:00:20 ( .D... ) "C:\Programme\Gemeinsame Dateien\Teleca Shared"
2007-03-07 06:00:18 ( .D... ) "C:\Programme\Sony Ericsson"
2007-03-06 22:00:38 ( .D... ) "C:\Programme\Total Video Converter"
2007-03-06 21:27:52 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\XnView"
2007-03-06 21:27:40 ( .D... ) "C:\Programme\XnView"
2007-03-06 19:28:02 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Ahead"
2007-03-06 19:25:12 ( .D... ) "C:\Programme\Gemeinsame Dateien\LightScribe"
2007-03-06 19:23:56 ( .D... ) "C:\Programme\Gemeinsame Dateien\Nero"
2007-03-06 19:22:16 ( .D... ) "C:\Programme\Gemeinsame Dateien\Ahead"
2007-03-06 19:22:14 ( .D... ) "C:\Programme\Ahead"
2007-03-06 16:19:56 ( .D... ) "C:\Programme\Runtime Software"
2007-03-06 09:16:10 ( .D... ) "C:\Programme\MSN Messenger"
2007-03-06 05:55:42 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\teamspeak2"
2007-03-06 05:51:16 ( .D... ) "C:\Programme\ICQLite"
2007-03-06 05:51:16 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\ICQLite"
2007-03-06 03:43:38 ( .D... ) "C:\Programme\WinRAR"
2007-03-06 03:32:56 43520 ( A.... ) "C:\WINDOWS\system32\CmdLineExt03.dll"
2007-03-06 02:26:06 ( .D... ) "C:\Programme\Java"
2007-03-06 02:26:06 ( .D... ) "C:\Programme\Gemeinsame Dateien\Java"
2007-03-06 02:25:38 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Sun"
2007-03-06 02:13:06 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Media Player Classic"
2007-03-06 00:56:58 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Adobe"
2007-03-06 00:45:52 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2007-03-06 00:42:50 ( .D... ) "C:\Programme\Avira"
2007-03-06 00:40:48 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Macromedia"
2007-03-06 00:40:38 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Mozilla"
2007-03-06 00:24:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\Adobe"
2007-03-06 00:24:58 ( .D... ) "C:\Programme\Adobe"
2007-03-05 23:11:36 47564 ( A.SHR ) "C:\NTDETECT.COM"
2007-03-05 23:02:20 ( .D... ) "C:\Programme\Microsoft.NET"
2007-03-05 23:02:00 ( .D... ) "C:\Programme\Gemeinsame Dateien\DESIGNER"
2007-03-05 23:01:16 ( .D... ) "C:\Programme\Microsoft Office"
2007-03-05 22:47:18 ( .D... ) "C:\Programme\Gigabyte"
2007-03-05 22:46:58 ( .D... ) "C:\Programme\Intel"
2007-03-05 22:46:30 ( .D.H. ) "C:\Programme\InstallShield Installation Information"
2007-03-05 22:46:20 ( .D... ) "C:\Programme\Gemeinsame Dateien\InstallShield"
2007-03-05 22:38:56 ( .D... ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Identities"
2007-03-05 22:38:50 ( .D.H. ) "C:\Programme\Uninstall Information"
2007-03-05 22:38:46 ( .DS.. ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\Microsoft"
2007-03-05 22:27:30 ( .D... ) "C:\Programme\xerox"
2007-03-05 22:27:30 ( .D... ) "C:\Programme\microsoft frontpage"
2007-03-05 22:27:22 0 ( A.... ) "C:\AUTOEXEC.BAT"
2007-03-05 22:26:22 ( .D... ) "C:\Programme\Online-Dienste"
2007-03-05 22:25:38 ( .D... ) "C:\Programme\Gemeinsame Dateien\Dienste"
2007-03-05 22:25:32 ( .D... ) "C:\Programme\Gemeinsame Dateien\MSSoap"
2007-03-05 22:25:26 ( .D... ) "C:\Programme\Movie Maker"
2007-03-05 22:25:20 ( .D... ) "C:\Programme\Outlook Express"
2007-03-05 22:25:20 ( .D... ) "C:\Programme\NetMeeting"
2007-03-05 22:25:16 ( .D... ) "C:\Programme\Gemeinsame Dateien\System"
2007-03-05 22:25:14 ( .D... ) "C:\Programme\Internet Explorer"
2007-03-05 22:25:04 ( .D... ) "C:\Programme\ComPlus Applications"
2007-03-05 22:24:34 ( .D.H. ) "C:\Programme\WindowsUpdate"
2007-03-05 22:24:34 ( .D... ) "C:\Programme\Windows Media Player"
2007-03-05 22:24:34 ( .D... ) "C:\Programme\Online Services"
2007-03-05 22:24:30 ( .D... ) "C:\Programme\Messenger"
2007-03-05 22:24:26 ( .D... ) "C:\Programme\MSN Gaming Zone"
2007-03-05 22:23:58 ( .D... ) "C:\Programme\Windows NT"
2007-03-05 22:23:58 ( .D... ) "C:\Programme\MSN"
2007-03-05 22:17:56 ( .D... ) "C:\Programme\Gemeinsame Dateien\ODBC"
2007-03-05 22:17:52 ( .D... ) "C:\Programme\Gemeinsame Dateien\SpeechEngines"
2007-03-05 22:17:52 ( .D... ) "C:\Programme\Gemeinsame Dateien\Microsoft Shared"
2007-03-05 22:17:52 ( .D... ) "C:\Programme\Gemeinsame Dateien"
2007-03-05 22:17:30 62 ( A.SH. ) "C:\Dokumente und Einstellungen\Sirius\Anwendungsdaten\desktop.ini"
2007-01-24 15:27:30 255848 ( A.... ) "C:\WINDOWS\system32\xactengine2_6.dll"
2007-01-19 12:53:04 51056 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"
2007-01-08 15:30:42 15128 ( A.... ) "C:\WINDOWS\system32\x3daudio1_1.dll"


((((((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0\\bin\\jusched.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""


Contents of the 'Scheduled Tasks' folder

Completion time: 16.03.2007 8:22:45,60
ComboFix ver 06.06.17 - This logfile is located at C:\ComboFix.txt



So und noch das LogFile von datFind als Anhang ;-)


Mfg ;-)


PS.: Es sieht so aus als wenn alles Clean ist *smile* auch beim aufrufen unserer HP taucht nix mehr auf *freu* dennoch würd ich gerne wissen um was es sich da gehandelt hat :-D

#4 JS/Dldr.Agent.14527 war in den temporaeren Dateien
wende noch cleanup an. falls du s nicht schon getan hast
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

Danke für die Hilfe
Hab CleanUp vorischtshalber noch mal angewendet.
Mich würd aber noch interessieren ob das Ding zu der eher harmlosen Kategorie gehört und wo sowas eigentlich her kommt :-P

Dann noch ein großes Kompliment Euch die Ihr hier den Usern helft und mit Rat
zur Seite steht weiter so ;-)

LG Christian ;-)[/img]