Forum
Tipps
News
Menu-Icon

TR/Drop.Agent.CDW

Hallo~
ich bin ziemlich ratlos und hoffe, dass mir vielleicht hier jemand weiterhelfen kann.
Ich habe über den MSN_messenger einen "Virus/Trojaner" bekommen.
Ich habe von einer vertraulichen Person ein Bild in Form einer "ZIP-Datei" erhalten, abgenommen, heruntergeladen und anschließend öffnen wollen.
Mein Laptop hat sich in Folge dessen aufgehangen und ich musste neustarten.
Seit dieser Zeit (also heute nachmittag 30/11/2007) versendet mein MSN-Messenger ohne mein Zutun sehr seltsame Nachrichten mit dem gleichen Bildanhang an alle 150 Kontakte in meiner MSN-Liste.
Ich habe im Internet nach dem Virus gesucht. Aber es wurde nichts gefunden.
Das Antivirenprogramm "antivr" hat mir den Trojaner "TR/Drop.Agent.CDW" angegeben. Jedoch konnte ich ihn nicht löschen, noch in Quarantäne setzen.
Das Programm hat ihn erst erkannt, als die Dateien schon an alle Personen auf meiner Liste versendet waren.
Ich kenne mich mit PC und Laptop ÜBERHAUPT nicht aus und verzweifel. ich brauche den laptop täglich um zu arbeiten, und habe als Studentin kein geld um mir teure Expertenhilfe zu leisten.
Bitte helfen sie mir  ,

Gruß Karirin



Antworten zu TR/Drop.Agent.CDW:

@Karirin
Versuche über AntiVir die Malwaredatei umzubenennen.

Danach scanne bitte dein Laptop noch mit dem Antivirustool "Dr.WEB Cureit".
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Starte das Programm, wähle nach Abschluss der automatisch Schnellüberprüfung deine Systempartition aus,
in der Regel ist das Laufwerk C und starte die vollständige Kontrolle. Die Auswahl dafür erfolgt über den Register “Überprüfung“ und den Punkt “Erweitert“.
Bei einen Malwarefund folge der vorgeschlagenen Maßnahme des Programms und poste auf jeden Fall den Scanbericht von Cureit hier !
Dazu gehe im Menü über “Datei“ auf “Prüfbericht speichern“, öffne danach die Berichtsdatei und kopiere den Inhalt.

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Boote den PC wieder im normalen Modus von Windows und erstelle dann ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Direkter Downloadlink zum Tool
http://www.trendsecure.com/portal/de/_download/HiJackThis.exe
oder von der Homepage
http://www.trendsecure.com/portal/de/tools/security_tools/hijackthis/overview

Die Quickanleitung für das Erstellen eines Logfiles:
Öffne HijackThis -->> Drücke den Button "Do a system scan and save a logfile“ ->> kopiere den kompletten Text und poste ihn.

PS:
Alle Personen aus deiner Kontaktliste haben jetzt ebenfalls über dein Laptop die Malware erhalten !

Ich habe den Hijacklog nun:

Logfile of HijackThis v1.99.1
Scan saved at 16:28:42, on 01.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\APPS\Powercinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnpstd3.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wncmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\*****\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht********.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *******
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://*****de/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:/******com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.web.de/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.animexx.de/
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DetectorApp] C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Windows Zero Driver] wncmgr.exe
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.03\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.03\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: WEB.DE Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe


kann mir jemand helfen?

 

@Karirin
Wurde der Rest aus der Anleitung auch umgesetzt ?
Das Ergebnis von Dr.WEB Cureit wäre interessant !

Dieser Eintrag sollte der Übeltäter sein und sollte gefixt werden:
O4 - HKLM\..\Run: [Windows Zero Driver] wncmgr.exe

Anleitung - Eintrag fixen:
Schließe alle Programme! -->> Öffne HijackThis -->> Drücke den Button "Do a system scan only" -->>"scan" -->> Häkchen setzen -->> "Fix checked"
Bei der Aktion muss der Browser geschlossen sein und es darf keine Internetverbindung bestehen, Idealerweise sollten alle Anwendung geschlossen sein !


Dann verwende das Programm Killbox um die folgenden Dateien zu löschen:
C:\WINDOWS\system32\wncmgr.exe

http://www.bleepingcomputer.com/files/killbox.php
oder
www.killbox.net
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Nachdem Reboot lade dir das Tool ComboFix über die u.g. Links herunter und speichere es auf den Desktop.
Starte das Programm, bestätige die Abfrage mit 1 und drücke “Enter“ und beachte die Hinweise.
Achtung:
Der Check mit Combofix kann einige Zeit in Anspruch nehmen.
Während dieser Zeit bitte NICHT ins Fenster klicken, ansonsten kann der Rechner hängen bleiben.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
oder
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
Den am Ende erstellten Report bitte hier posten !

Zum Schluss erstelle ein neues HijackThis-Log und poste es weider.


Aha...mein Lieblingsstümper versucht wieder Rechner und deren Besitzer zu ruinieren... ::)

Du kannst ja immer noch kein Logfile lesen ,"help"... >:(

 
Zitat
O4 - HKLM\..\Run: [Windows Zero Driver] wncmgr.exe

Dieser Prozess muß aus dem Autostart genommen werde.
Vorher unbedingt den Teatimer von Soybot deaktivieren,sonst wird das nämlich nix... 8)
Danach wird diese Datei bei Virustotal untersucht :
Zitat
C:\WINDOWS\system32\wncmgr.exe
 
...und wenn der Threadersteller das Ergebniss postet ,dann sage ich ihm was er weiter zu tunhat...

Natürlich kannst du auch auf den Usinn hören den dir die Pfeife von "help" erzählt...
Es ist deine Kiste und du wirst haftbar gemacht.Es ist dein Geld das es kostet,nicht meins und schon gar nicht das vom Dum.merle... ::)
Sir Reklov
Aha...mein Lieblingsstümper versucht wieder Rechner und deren Besitzer zu ruinieren... ::)

Du kannst ja immer noch kein Logfile lesen ,"help"... >:(

 Dieser Prozess muß aus dem Autostart genommen werde.
Vorher unbedingt den Teatimer von Soybot deaktivieren,sonst wird das nämlich nix... 8)
Danach wird diese Datei bei Virustotal untersucht : ...und wenn der Threadersteller das Ergebniss postet ,dann sage ich ihm was er weiter zu tunhat...

Natürlich kannst du auch auf den Usinn hören den dir die Pfeife von "help" erzählt...
Es ist deine Kiste und du wirst haftbar gemacht.Es ist dein Geld das es kostet,nicht meins und schon gar nicht das vom Dum.merle... ::)
Sir Reklov

Du kannst es nicht lassen!
Immer nur die Leute beleidigen, Lügen verbreiten, inkompetentes Möchtegern Fachwissen verbreiten und die Netiquette im Forum missachten.

Sir Reklov,
lerne Anstand und Regeln damit du endlich Gesellschaftsfähig wirst !

 

Ja ,ich kann halt eionfach nicht zusehen ,wie ein Spinner versucht die Kisten komplett zu zerstören...

Zumindest muß vor dir "help" gewarnt werden !!! ::)
Du bist eine Zumutung im Inernet !!
Sir Reklov

ich hatte, wie HELP mir gesagt hat, diese eine benannte Datei gefixt...war das nun falsch? T__T

Ich wollte danach das Handbuch meines Laptops aufrufen..aber das programm öffnet nicht mehr...außerdem versucht sich mein laptop immer ohne mein zutun ins internet ainzuwählen ...

ich bin hilflos..was kann/muss ich tun?T____T

Wenn ich du wäre,würde ich mir die Regeln im Trojanerboard nochmal genau durchlesen und dann erneut versuchen dort Hilfe zu bekommen...
So wie du8 das hier gemacht hast :http://www.trojaner-board.de/46521-trojaner-ubergriff.html

bist du eben in der Mülltonne gelandet... ;D
Sir Reklov


« Internet Explorer öffnet ständig Werbefenster!!!!Ist das gefährlich wen man 2 antiviruse hat ??? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Bildpunkte
Bilder, die von einem Monitor wiedergegeben werden, bestehen aus einzelnen Bildpunkten (Pixeln). Je höher die Pixelanzahl ist, desto genauer und besser kann das Bild...

Bildschirmschoner
Der eigentliche Sinn des Bildschirmschoners ist, den Bildschirm vor dem Einbrennen des Monitorbildes zu schützen.Während das bei neueren Monitoren (außer ...

Bildwiederholfrequenz
Auf Bildschirmen erscheint ein Bild nur Bruchteile von Sekunden, weil die es erzeugenden Elektronenstrahlen oder Impulse sehr kurzzeitig wirken. Deshalb wird es mit einer...