Trojaner?

Anja1976 · 01.12.2005

Hallo,

ich bräuchte eure Hilfe, da ich ein ziemlicher Laie bin.

Mein Virenscanner hat einen Trojaner gemeldet (TR/Dldr.Agent.IP) und sagt, er kann infizierte Dateien nicht löschen.

Habe jetzt hijackthis laufen lassen, aber das sagt mir gar nix.

Logfile of HijackThis v1.99.1
Scan saved at 20:40:58, on 01.12.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TBPANEL.EXE
C:\TOOLS\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ASUS\WLAN CARD UTILITIES\CENTER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\TOOLS\HIJACHTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mp3hi-fi.com/cgi-bin/l/lnk.cgi?l=searchdef
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = search.rub.to
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = search.rub.to
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = search.rub.to
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = search.rub.to
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = search.rub.to
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [WinampAgent] C:\Tools\Winamp\winampa.exe
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Norton] C:\Programme\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra->Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de

Was kann und muss ich tun?

Danke.
Anja

PCDpan_fee · 01.12.2005

Anja1976 schrieb:
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

mach mal ein Windows-Update

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = search.rub.to
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = search.rub.to
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = search.rub.to
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = search.rub.to
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = search.rub.to

mit HijackThis fixen (Button fix checked)

O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)

hat zu Download Accelerator Plus (DAP) gehört - noch fixen

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

http://www.wintotal.de/Tipps/Eintrag.php?TID=384

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

gehörte zum Real Player, kannst du auch noch fixen.

Mein Virenscanner hat einen Trojaner gemeldet (TR/Dldr.Agent.IP) und sagt, er kann infizierte Dateien nicht löschen.

sagt dein Virenscanner auch, wo der Trojaner liegen soll?

pan_fee

Anja1976 · 01.12.2005

Hallo,

Mein Virenscanner sagt folgendes:

C:\_RESTORE\ARCHIVE
FS2549.CAB
ArchiveType: CAB (Microsoft)
--> A0294453.CPY
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.IP
und:

Infizierte Dateien in Archiven werden nicht repariert oder gelöscht.

Vielen Dank schon mal.
Anja

PCDpan_fee · 01.12.2005

aha - Systemwiederherstellung deaktivieren, wie hier auf diesem Screenshot:
http://www.wintotal.de/Tipps/Eintrag.php?TID=170

Dadurch werden die Systemwiederherstellungspunkte gelöscht und die Meldung vom Virenscanner sollte dann auch verschwunden sein.

Danach wieder aktivieren.

pan_fee

Anja1976 · 01.12.2005

Vielen Dank. Der Virenscanner zeigt nichts auffälliges mehr an. Außerdem dauerte er jetzt nur 11 statt 45 Minuten. Muß ich häufiger die Systemwiederherstellung deaktivieren, damit sich nicht so ein Datenwusst anhäuft?

Außerdem noch:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

http://www.wintotal.de/Tipps/Eintrag.php?TID=384

Ich finde in der registry Hkey_Local_Machine\Software\Microsoft\Internet Explorer\Extensions\c95fe080-8f5d-11d2-a20b-00aa003c157a
nicht, war aber vorher auch noch nie da. Gibt es da einen Trick?

Anja

PCDpan_fee · 02.12.2005

Anja1976 schrieb:
Vielen Dank. Der Virenscanner zeigt nichts auffälliges mehr an. Außerdem dauerte er jetzt nur 11 statt 45 Minuten. Muß ich häufiger die Systemwiederherstellung deaktivieren, damit sich nicht so ein Datenwusst anhäuft?

wenn du die Systemwiederherstellung deaktivierst werden alle Systemwiederherstellungspunkte bis auf den letzten aktuellen Punkt gelöscht. Die Systemwiederherstellung merkt sich Veränderungen an deinem System und erstellt automatisch einen neuen Systemwiederherstellungspunkt. Du kannst dir auch jederzeit einen neuen Wiederherstellungspunkt erstellen unter Start - Zubehör - Systemprogramme - Systemwiederherstellung.
http://www.wintotal.de/Artikel/systemrettung/systemrettung.php

Ich finde in der registry Hkey_Local_Machine\Software\Microsoft\Internet Explorer\Extensions\c95fe080-8f5d-11d2-a20b-00aa003c157a
nicht, war aber vorher auch noch nie da.

dann ist Alexa schon gelöscht worden.

pan_fee

Anja1976 · 02.12.2005

Vielen Dank für Deine Hilfe.

Jetzt läuft alles erst mal wieder. Und ein Update hab ich auch gemacht.

Trojaner?

Anja1976

PCDpan_fee

Anja1976

PCDpan_fee

Anja1976

PCDpan_fee

Anja1976

Trojaner?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums