hallo,
diese 3 trojaner infos (Dldr.Agent.AP - Dldr.Agent.BQ - Dldr.Agent.AP.3) spuckt mein antivir aus, immer wenn ich eine neue internet seite öffne.

hier ist meine hijack logfile.
was muss ich als nächstes tun?

Logfile of HijackThis v1.98.2
Scan saved at 00:17:55, on 14.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\system32\ADIMonEx.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis_198\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8BF1F6CF-05C0-258D-9FBE-6772FCC4F6A4} - C:\WINNT\system32\javayh32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINNT\system32\ADIMonEx.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{5227B47A-35D4-4C4D-822C-43012C9CBEED}: NameServer = 217.237.150.33 217.237.151.161

sehr schwerwiegend kann das doch net sein, oder??

dieser internet check listet mir nur 3 fehler auf.. unter anderem die letzten 2.
kann ich die einfach so im abgesicherten löschen?

vielen dank im vorraus

kann mir keiner helfen??

@Lostie79
lade dir escan download
anleitung hier
mache es genauso wie in der anleitung beschrieben wird
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman

geht auch über: ergebnisse im eScan Feld markieren, STRG + C, und hier STRG + V

Da sind sie:
soll ich die manuel über trojancheck5 im reg editor suchen und löschen?



File C:\WINNT\system32\javayh32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\javayh32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\javayh32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\286PVDSK\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\286PVDSK\loader2[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\OL2FCLMF\ied_s7[1].chm infected by "Trojan-Downloader.JS.Small.x" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\TF3DFTBK\msits[1].exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\TF3DFTBK\x[1].chm infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\VUZ59XZ7\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\VUZ59XZ7\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\WD2BOXYF\ied_s7_23[1].cab infected by "Trojan-Downloader.Win32.Mediket.f" Virus. Action Taken: No Action Taken.

@Lostie79
dieser hier C:\WINNT\system32\javayh32.dll ( )
manuell in den abgesicherten modus löschen, danach
lade dir clearprog hier
programm starten, alle häkchen bei windows und IE setzen, löschen.
dann sind alle Temporary Internet files gelöscht.

danach ein neues HJT logfile hier posten

chaosman

Zitat:

Zitat von chaosman

@Lostie79
dieser hier manuell in den abgesicherten modus löschen

welcher, dieser hier??

Diese Dateien manuell löschen:

Zitat:

Zitat von Lostie79

File C:\WINNT\system32\javayh32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\javayh32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\javayh32.dll infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.

Diese verschwinden durch Leeren des IE-Caches:

Zitat:

Zitat von Lostie79

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\286PVDSK\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\286PVDSK\loader2[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\OL2FCLMF\ied_s7[1].chm infected by "Trojan-Downloader.JS.Small.x" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\TF3DFTBK\msits[1].exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\TF3DFTBK\x[1].chm infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\VUZ59XZ7\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\VUZ59XZ7\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\WD2BOXYF\ied_s7_23[1].cab infected by "Trojan-Downloader.Win32.Mediket.f" Virus. Action Taken: No Action Taken.

Und anschließend solltest Du Dich fragen, warum so ein Mist auf Deinen Rechner kommt...
Hint: Es gibt auch andere Browser als den IE.

Gruß
Yopie

ARGH!! der findet ja noch mehr!!!!
war wohl zu schnell...

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\286PVDSK\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\286PVDSK\loader2[1].ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OL2FCLMF\ied_s7[1].chm infected by "Trojan-Downloader.JS.Small.x" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TF3DFTBK\msits[1].exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TF3DFTBK\x[1].chm infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VUZ59XZ7\classload[1].jar infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VUZ59XZ7\main[1].chm infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WD2BOXYF\ied_s7_23[1].cab infected by "Trojan-Downloader.Win32.Mediket.f" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\ATLHF32.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\SDKEM.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\TRYQA.DLL.001 infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\TRYQA.DLL.002 infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\TRYQA.DLL.003 infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\TRYQA.DLL.004 infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\TRYQA.DLL.VIR infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Zitat:

Zitat von Lostie79

ARGH!! der findet ja noch mehr!!!!
war wohl zu schnell...

Schau Dir die Pfadangaben an und überleg mal, ob Du da nicht selber drauf kommst, wie Du die Dinger beseitigen kannst...

Gruß
Yopie

naja, bei der ersten hälfte kapier ich es ja noch. den TEMP Ordner leeren..aber die anderen? ehmmm.. sorry kein plan

den Infected Ordner löschen?

Zitat:

Zitat von Lostie79

den Infected Ordner löschen?

Das ist doch schon mal mehr als "kein Plan".

Du hast im AVGuard ein Quarantäneverzeichnis angegeben -> den "Infected"-Ordner. Es reicht, wenn Du die dort enthaltenen Dateien löschst. Malware kann in diesem Ordner aber keinen Schaden anrichten.

Gruß
Yopie

HURRAA, ich bin wieder FAST clean!! danke schön!!!

das ist die finale HJT.
dennoch sind hier ein paar fehler.
wie bekomme ich DIE nun noch weg?
auch manuell im abgesicherten?

Logfile of HijackThis v1.98.2
Scan saved at 20:20:45, on 14.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8BF1F6CF-05C0-258D-9FBE-6772FCC4F6A4} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - Global Startup: Acer ADSL UTILITY.LNK = C:\WINNT\system32\ADIMonEx.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

Fixe nochmal dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jfdbi.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8BF1F6CF-05C0-258D-9FBE-6772FCC4F6A4} - (no file)


Schütze dich mit einem anderen Browser: www.firefox-browser.de ist kostenlos und sicher.