Trojaner TR/Agent.CL C:\WINDOWS\DD.EXE

Dieses Thema im Forum "Sicherheit" wurde erstellt von SunnyLee_Jones, 11. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. SunnyLee_Jones

    SunnyLee_Jones ROM

    Registriert seit:
    12. Januar 2005
    Beiträge:
    7
    Hallo zusammen,
    hoffe jemand kann helfen.
    Bei jedem Neustart findet Antivir bei mir den Trojaner TR/Agent.CL (Dateiangabe: C:\WINDOWS\DD.EXE ) und ich krie den einfach nitt weg =o(

    Hab schon probiert (sowohl im normalen als auch im abgesicherten Modus):
    Antivir
    AdAware
    Spybot

    Leider erfolglos.

    Hijackthis schmeisst mir den folgenden Logfile raus.
    Hoffe könnt mir diesen mal auswerten...l.

    Vielen Dank im voraus
    Lieben Gruss
    SunnyLee


    http://www.hijackthis.de/logfiles/2b41aaaa4929d9f759133f5c176ea3e8.html

    :bet:

    ----------------------------------------------------------------
    Anmerkung der Moderation:

    Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

    Gruß
    Nevok

    ----------------------------------------------------------------
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
  3. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
  4. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    die ist aber noch das geringste Problem das der TE hat.



    Grüße Jasager
     
  5. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
    Moin!

    Klärst Du uns über den bösen Rest auf? Ich kann nicht viel mehr machen, als die beanstandete(n) Datei(en) via :google: zu checken.

    :danke:
    Thor
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Die msnmsgq.exe macht mir Sorgen. Könnte ein Backdoor-Trojaner sein, aber die Google-Ergebnisse sind nicht eindeutig.

    @ SunnyLee_Jones
    Lass diese Datei mal von einem AV-Hersteller checken.
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    weitere Datei, die fraglich ist:
    C:\WINDOWS\System32\ajzwubc.exe
    (scheint aber generisch erstellt zu sein, insofern wird sich da über google nichts finden lassen. Sollte der TE dann hier überprüfen lassen.


    Grüße Jasager
     
  8. SunnyLee_Jones

    SunnyLee_Jones ROM

    Registriert seit:
    12. Januar 2005
    Beiträge:
    7
    Hallo zusammen!
    Zunächst Danke für die schnellen Antworten,
    soooooooorry für das Reinstellen des hijack-logs...(hab die nachricht nicht gesehen...!!!) =o(

    ich hab die hijack-auswertung brav befolgt und es scheint - auch nach neustart - dass dieser msnmsgq.exe jetzt weg ist *freu*
    der ajzweubc...was auch immer das war ist auch wieder weg.

    und die elite tool bar...mit der hab ich mich damals noch mit dem internet explorer rumgeschlagen. seit ich mozilla benutze kümmer ich mich einfach nicht mehr drum. ;o) trotzdem danke für die norton-info!!!

    melde mich gerne wieder wenns doch nicht geklappt hat.
    liebe grüsse!
    =O)
    sunnylee
     
  9. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
    Du solltest die EliteToolBar auch fixen und beseitigen (Spybot/Adaware u. ä.), denn deine Updates machst Du doch mit dem IE. So hat auch das Unhold-Tool immer dann Internetzugang.

    Die gefixten Dateien sind zwar weg, werden aber ggf. unter anderem Namen wieder neuerstellt. Lasse lieber noch einmal die Anti-Viren/-Spyware-Programme laufen.

    Thor
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das du die Dateien löschen solltest hat hier niemand gepostet, du solltest sie überprüfen lassen damit wir genauer erfahren um was für einen Virus es sich handelt, erstelle mal noch ein Log und stelle es diesmal als LINK rein.


    Grüße Jasager
     
  11. SunnyLee_Jones

    SunnyLee_Jones ROM

    Registriert seit:
    12. Januar 2005
    Beiträge:
    7
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hmm, das macht die Sache jetzt nicht einfacher. Lass mal den Virenscanner hier noch drüberlaufen, vielleicht findet der noch was.
    Eigentlich bin ich ja der Meinung das du auf deinem System den Backdoortrojaner Win32.Tactslay.H hattest, und dieses somit neu aufgesetzt werden müßte, da es kompromittiert .
    Du kannst aber noch mal abwarten was Escan so zu Tage fördert, und was die anderen zu dem Thema meinen.


    Grüße Jasager
     
  13. SunnyLee_Jones

    SunnyLee_Jones ROM

    Registriert seit:
    12. Januar 2005
    Beiträge:
    7
    Hallo Jasager.
    hab dann mal den escan durchlaufen lassen....
    den trojaner tr/agent von am anfang hatter nicht mehr gefunden und er hat sich auch nach einem erneuten heutigen hochfahren des rechners nicht mehr gemeldet.

    der escan hat noch "zwei-drei" unannehmlichkeiten gefunden...
    weiss jetzt allerdings nicht wie ich dir diese "Liste" mal schicken könnte (hatte ja schon ärger gekriegt wegen dem logfile von hijack...)

    Trojan.Win32.StartPage.nk --> das is in dem escan log öfters angezeigt
    und zig einträge wo aber beisteht "refers to invalid object" (zum beispiel bei ICQ, den ich schon ewig nicht mehr auf meinem rechner habe)

    ansonsten ein paar spy tool bars usw....
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    du kannst einfach mal in dem Textlogfile von Escan nach dem Stichwort "infected" suchen, und alle Einträge die er dann rausspuckt hier her posten.

    Grüße Jasager
     
  15. SunnyLee_Jones

    SunnyLee_Jones ROM

    Registriert seit:
    12. Januar 2005
    Beiträge:
    7
    Hallo :o)
    also hier die einträge aus dem escanlog die infected beinhalten.
    (kann dann leider erst anfang nächster woche wieder antworten, weil in urlaub!!! Vorab aber schon mal suuuuper danke für deine mühe und hilfe!)

    ganz liebe grüsse


    File C:\WINDOWS\system32\error32.dat infected by "Trojan.Win32.StartPage.nk" Virus! Action Taken: No Action Taken.
    File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5AY90YT1\dd[2].txt infected by "Trojan.Win32.Agent.cl" Virus! Action Taken: No Action Taken.
    File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NQH2QMF4\dd[1].txt infected by "Trojan.Win32.Agent.cl" Virus! Action Taken: No Action Taken.
    File D:\Funstuff\MyPic.exe infected by "not-virus:BadJoke.Win32.JepRuss" Virus! Action Taken: No Action Taken.
    File D:\Antivir\INFECTED\kalvrgp32.VIR infected by "Trojan.Win32.StartPage.nk" Virus! Action Taken: No Action Taken.
    File D:\Antivir\INFECTED\kalvrgp32.VIR00 infected by "Trojan.Win32.StartPage.nk" Virus! Action Taken: No Action Taken.
     
  16. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo Sunny,

    lösche einmal die "Temporary Internet Files" im IE unter EXTRAS - INTERNETOPTIONEN..

    Von Hand mit dem Explorer versuchen die "error32.dat" zu löschen.

    Grüße
    Wolfgang
     
  17. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    kleine Ergänzung, die Temporary Internet Files löscht du unter Extras>>Internetoptionen dort unter Temporary Internetfiles auf "Dateien löschen" klicken.
    Bevor du die C:\WINDOWS\system32\error32.dat löschst solltest du die Systemwiederherstellung ausschalten:
    Im Explorer Rechtsklick auf Arbeitsplatz>>Eigenschaften dort in der Karteikarte Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" reinmachen, und dann die Datei löschen, falls immernoch nicht weg, das ganze mal im abgesicherten Modus(F8 beim booten) versuchen.
    Danach nicht vergessen die Systemwiederherstellung wieder einzuschalten.


    Schönen Urlaub
    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen