Hallo Trojaner-Experten,
habe seit 2 Tagen oben genannten Trojaner an Bord. AntiVir meldet ihn mir alle Nase lang, kann ihn aber offenbar nicht löschen. Habe schon probiert mit CWShredder, Stinger, EasyClean, Hijack ... Werde ihn einfach nicht los.
Bin für jeden Tipp dankbar.

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hi, hier ist mein HJT-logfile:

Logfile of HijackThis v1.99.0
Scan saved at 17:45:46, on 16.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\APICN32.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
C:\PROGRAMME\FRITZ!\FRIFAX32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ADDYT.EXE
C:\WINDOWS\ADDYT.EXE
C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE
O4 - HKLM\..\RunServices: [ADDYT.EXE] C:\WINDOWS\ADDYT.EXE
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.154/code/PWActiveXImgCtl.CAB
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

boote in den abgesicherten Modus und fixe mit HJT folgende Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R3 - Default URLSearchHook is missing
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.154/code/PWActiveXImgCtl.CAB

lösche von Hand folgende Dateie:
c:\windows\system32\blank.htm

folgende Dateien hier online scannen lassen:

C:\WINDOWS\SYSTEM\APICN32.EXE
C:\WINDOWS\ADDYT.EXE
C:\WINDOWS\SYSTEM\WINWI.DLL

Ergebnis je 10 Zeilen wieder rein posten
und neues HJT erstellen und hier rein

Moin, moin !

1.) Habe im abgesicherten Modus gefixt die 3 Einträge.
2.) Die Datei c:\windows\system32\blank.htm ist nicht zu finden, kann sie somit auch nicht löschen
3.) Hier die Online-scans:

File: WINWI.DLL
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir No viruses found (1.35 seconds taken)
Avast No viruses found (3.01 seconds taken)
AVG Antivirus No viruses found (1.01 seconds taken)
BitDefender No viruses found (0.46 seconds taken)
ClamAV No viruses found (0.59 seconds taken)
Dr.Web No viruses found (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.jb (1.03 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (0.46 seconds taken)
Norman Virus Control No viruses found (0.18 seconds taken)

Statistics
Last piece of malware found was W32/Agent.ADJ in MapleProv027.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.44 seconds
Avast X 1.53 seconds
AVG Antivirus X 0.76 seconds
BitDefender Trojan.Spy.Agent.Y 0.46 seconds
ClamAV X 0.93 seconds
Dr.Web X 2.63 seconds
F-Prot Antivirus X 0.71 seconds
Fortinet X 0.39 seconds
Kaspersky Anti-Virus not-a-virus:RiskWare.Monitor.Perflogger.al 1.15 seconds
mks_vir Trojan.Downloader.Agent.Fz 0.25 seconds
NOD32 X 0.52 seconds
Norman Virus Control W32/Agent.ADJ 0.18 seconds
____________________________________________________________
File: APICN32.EXE
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir TR/Dldr.Agent.bq1.B (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.74 seconds taken)
BitDefender No viruses found (0.65 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web Trojan.Feat.2 (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.40 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq (1.01 seconds taken)
mks_vir W32 (probable variant) (0.22 seconds taken)
NOD32 No viruses found (0.47 seconds taken)
Norman Virus Control No viruses found (1.23 seconds taken)
______________________________________________________________

Zum Thema ADDYT.EXE sagt der Online-Scanner:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
_______________________________________________________________

Zum Schluss nochmal der HJT mit folgendem Ergebnis:

Logfile of HijackThis v1.99.0
Scan saved at 10:07:58, on 17.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\APICN32.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
C:\PROGRAMME\FRITZ!\FRIFAX32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SYSEP32.EXE
C:\WINDOWS\SYSTEM\SYSEP32.EXE
C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE
O4 - HKLM\..\RunServices: [ADDYT.EXE] C:\WINDOWS\ADDYT.EXE
O4 - HKLM\..\RunServices: [CRVP32.EXE] C:\WINDOWS\SYSTEM\CRVP32.EXE
O4 - HKLM\..\RunServices: [SYSEP32.EXE] C:\WINDOWS\SYSTEM\SYSEP32.EXE
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab


And now ?

Gruß, fasivet

Hallo,
ich habe auch ein Problem mit dem RT/Agent.KT Trojaner. Hier mein Logfile von Hijack im abgesicherten Modus. Wenn ich den PC normal starte, kann ich mittlerweile leider gar nichts mehr öffnen. Kann mir einer helfen?
Danke!

Logfile of HijackThis v1.99.1
Scan saved at 15:25:51, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A67AC66F-E66D-B230-07D8-8163A013AE40} - C:\WINDOWS\system32\appqa32.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [sysbo32.exe] C:\WINDOWS\system32\sysbo32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [apitt.exe] C:\WINDOWS\apitt.exe
O4 - HKLM\..\Run: [29.tmp] C:\DOKUME~1\cm\LOKALE~1\Temp\29.tmp.exe 0 28129
O4 - HKLM\..\Run: [1C.tmp.exe] C:\DOKUME~1\cm\LOKALE~1\Temp\1C.tmp.exe 1 28129
O4 - HKLM\..\Run: [1C.tmp] C:\DOKUME~1\cm\LOKALE~1\Temp\1C.tmp.exe 1 28129
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33F13A58-69AD-47EE-B6B9-5F9769E2F94D}: NameServer = 194.25.2.129,212.185.252.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{33F13A58-69AD-47EE-B6B9-5F9769E2F94D}: NameServer = 194.25.2.129,212.185.252.73
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINDOWS\msdu.exe (file missing)

@ birdie
mach bitte eine neuen Thread auf sonst wird es unübersichtlich, Danke

@ fasivet

boote in den abgesicherten Modus un fixe mit HJD folgende Einträge:

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL
O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE

lösche von Hand folgende Dateien:
C:\WINDOWS\SYSTEM\WINWI.DLL
C:\WINDOWS\SYSTEM\APICN32.EXE

Scanne dein System mit eScan.
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hallo,

bekannter von mir hat sich auf seinem system (WinME) auch diesen Virus eingefangen. werd heute bei ihm es mal nach obiger anleitung versuchen. dieser thread ist (fast) der einzigste Link wie man den man unter google findet. ich hab auch bei den größeren DB's gesucht aber nirgend's gibts was über den Virus. Oder find ich ihn einfach nur nicht
Werde dann auch mal meine Ergebnisse posten!
Gruß
lyn'

@ lyn'

Lyn' sag einfach Deinem Bekannten oder Du machst es für ihn, hier im Board einen neuen Thread erstellen und dann das HJT rein posten mit kurzer Beschreibung

Hallo,
ich habe seit einigen Tagen auch das Problem mit dem Trojaner TR/Agent.KT.
hier mein Logfile of HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 11:12:15, on 20.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\cad\QuickTime 4\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\nthx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\Kerio Firewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\devldr32.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\system32\fxssvc.exe
D:\Programme\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
D:\Programme\Kerio Firewall\Personal Firewall 4\kpf4gui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qpcmu.dll/sp.html#17449
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02B31963-FD28-D99F-BAC8-480AC9653930} - C:\WINDOWS\system32\msyn32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\cad\QuickTime 4\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [nttd.exe] C:\WINDOWS\nttd.exe
O4 - HKLM\..\Run: [14.tmp] C:\DOKUME~1\Brian\LOKALE~1\Temp\14.tmp.exe 1 10001
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nthx.exe] C:\WINDOWS\system32\nthx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O13 - WWW. Prefix: http://ehttp.cc/?
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE71AC02-9A3D-43AF-9055-5E79C282327B}: NameServer = 192.168.1.1

....ich hoffe mir kann jemand helfen!!!

Brian

@ Hi Brian
Du verwendest eine veraltete Version von HJT aber zu dem später.
Scanne Dein System erst mal mit eScan um zu sehen ob da noch was zu retten ist

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hallo Gigamail,
habe den eScan durchgeführt, wie empfohlen.
Hier das logfile:

File C:\WINDOWS\evjrqr.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\yjmjxe.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\asesal.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\ktkbkm.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\qnxcbm.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\icupqr.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\zovlcq.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\suhlbq.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\TeenSex.exe infected by "Trojan.Win32.Liech.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\evjrqr.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\yjmjxe.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\asesal.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\ktkbkm.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\qnxcbm.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\icupqr.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\zovlcq.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\suhlbq.dat infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\RECYCLED\DC10.EXE infected by "not-a-virus:Porn-Dialer.Win32.DialerComp" Virus. Action Taken: No Action Taken.

File C:\RECYCLED\DC27.DLL infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\winupd.VIR infected by "Trojan-Dropper.Win32.Small.ig" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\APIEX32.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\ADDUT.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\WINFT.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\JAVADA32.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INFECTED\ADDYT.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.


Isses nicht schrecklich ?
Ich habe inzwischen insofern Ruhe, dass offenbar keine Trojaner mehr runtergeladen werden, jedenfalls schweigt mein AntiVir.
Sag schnell, wie ich die Dinger endgültig von der Festplatte fege !

Vielen Dank für die gute Hilfe bisher. Großes Lob !

Gruß,fasivet

Mhh hilfe bin sogar zu dumm um ein neues thema oder beitrag zu erstellen wie mach ich das ein neus theard zu öffnen es geht auch um AGENT kt

@ fasivet

Zitat:

infected by "Backdoor.Win32.Small.dc" Virus

normalerweise solltest Du dein System neu aufsetzen da Backdoorviren Daten stehlen, Systemdateien verändern können, Registryeinträge erstellen können usw.
Das System ist dadurch nicht mehr vertrauenswürdig es ist Kompromittiert
lese dazu diesen Beitrag
wenn Du diese Reparatur trotzdem durchführen willst (Garantien gibt's keine)
boote in den abgesicherten Modus lösche alle von eScan gefundene Dateien mit der KillBox
Öffne die KillBox -->Delete File on Reboot
und lade jede von eSan erkannte Datei dort rein. Klick auf das rote Kreuz wenn Du gefragt wirst "Do you want to reboot" auf no klicken nächste rein usw. erst bei der letzten auf yes.
lösche den Quaratäneordner von Antivir
lösche den Papirkorb
lösche alle Temp
lösche Deine temporary internet files

neu booten neues HJT posten

Erledigt. Bin mir aber nicht ganz sicher, ob in der Killbox alles gelöscht wurde, denn bei jedem Anklicken des roten Kreuzes konnte ich nur OK oder Abbrechen wählen. Habe immer abgebrochen und nur bei der Letzten Datei OK gedrückt.
Hier das logfile danach:

Logfile of HijackThis v1.99.0
Scan saved at 19:10:46, on 21.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O8 - Extra context menu item: &Google Search -
res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite -
res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten -
res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten -
res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) -
http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment
1.4.0) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
http://www.bitdefender.de/scan/Msie/bitdefender.cab


Gruß
fasivet