Hallo Trojaner-Experten,
habe seit 2 Tagen oben genannten Trojaner an Bord. AntiVir meldet ihn mir alle Nase lang, kann ihn aber offenbar nicht löschen. Habe schon probiert mit CWShredder, Stinger, EasyClean, Hijack ... Werde ihn einfach nicht los.
Bin für jeden Tipp dankbar.

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hi, hier ist mein HJT-logfile:

Logfile of HijackThis v1.99.0
Scan saved at 17:45:46, on 16.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\APICN32.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
C:\PROGRAMME\FRITZ!\FRIFAX32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ADDYT.EXE
C:\WINDOWS\ADDYT.EXE
C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE
O4 - HKLM\..\RunServices: [ADDYT.EXE] C:\WINDOWS\ADDYT.EXE
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.154/code/PWActiveXImgCtl.CAB
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

boote in den abgesicherten Modus und fixe mit HJT folgende Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
R3 - Default URLSearchHook is missing
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.154/code/PWActiveXImgCtl.CAB

lösche von Hand folgende Dateie:
c:\windows\system32\blank.htm

folgende Dateien hier online scannen lassen:

C:\WINDOWS\SYSTEM\APICN32.EXE
C:\WINDOWS\ADDYT.EXE
C:\WINDOWS\SYSTEM\WINWI.DLL

Ergebnis je 10 Zeilen wieder rein posten
und neues HJT erstellen und hier rein

Moin, moin !

1.) Habe im abgesicherten Modus gefixt die 3 Einträge.
2.) Die Datei c:\windows\system32\blank.htm ist nicht zu finden, kann sie somit auch nicht löschen
3.) Hier die Online-scans:

File: WINWI.DLL
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir No viruses found (1.35 seconds taken)
Avast No viruses found (3.01 seconds taken)
AVG Antivirus No viruses found (1.01 seconds taken)
BitDefender No viruses found (0.46 seconds taken)
ClamAV No viruses found (0.59 seconds taken)
Dr.Web No viruses found (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.38 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.jb (1.03 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 No viruses found (0.46 seconds taken)
Norman Virus Control No viruses found (0.18 seconds taken)

Statistics
Last piece of malware found was W32/Agent.ADJ in MapleProv027.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.44 seconds
Avast X 1.53 seconds
AVG Antivirus X 0.76 seconds
BitDefender Trojan.Spy.Agent.Y 0.46 seconds
ClamAV X 0.93 seconds
Dr.Web X 2.63 seconds
F-Prot Antivirus X 0.71 seconds
Fortinet X 0.39 seconds
Kaspersky Anti-Virus not-a-virus:RiskWare.Monitor.Perflogger.al 1.15 seconds
mks_vir Trojan.Downloader.Agent.Fz 0.25 seconds
NOD32 X 0.52 seconds
Norman Virus Control W32/Agent.ADJ 0.18 seconds
____________________________________________________________
File: APICN32.EXE
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX

AntiVir TR/Dldr.Agent.bq1.B (0.36 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.74 seconds taken)
BitDefender No viruses found (0.65 seconds taken)
ClamAV No viruses found (0.57 seconds taken)
Dr.Web Trojan.Feat.2 (0.85 seconds taken)
F-Prot Antivirus No viruses found (0.09 seconds taken)
Fortinet No viruses found (0.40 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.bq (1.01 seconds taken)
mks_vir W32 (probable variant) (0.22 seconds taken)
NOD32 No viruses found (0.47 seconds taken)
Norman Virus Control No viruses found (1.23 seconds taken)
______________________________________________________________

Zum Thema ADDYT.EXE sagt der Online-Scanner:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
_______________________________________________________________

Zum Schluss nochmal der HJT mit folgendem Ergebnis:

Logfile of HijackThis v1.99.0
Scan saved at 10:07:58, on 17.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\APICN32.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
C:\PROGRAMME\FRITZ!\FRIFAX32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SYSEP32.EXE
C:\WINDOWS\SYSTEM\SYSEP32.EXE
C:\PROGRAMME\HIJACKTHIS\1_99_0.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {E2D52116-4FCD-570A-05AD-6EABA2D49FBE} - C:\WINDOWS\SYSTEM\WINWI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [APICN32.EXE] C:\WINDOWS\SYSTEM\APICN32.EXE
O4 - HKLM\..\RunServices: [ADDYT.EXE] C:\WINDOWS\ADDYT.EXE
O4 - HKLM\..\RunServices: [CRVP32.EXE] C:\WINDOWS\SYSTEM\CRVP32.EXE
O4 - HKLM\..\RunServices: [SYSEP32.EXE] C:\WINDOWS\SYSTEM\SYSEP32.EXE
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [0900 Alarm] C:\PROGRAMME\0900 ALARM\0900ALARM.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab


And now ?

Gruß, fasivet

Hallo,
ich habe auch ein Problem mit dem RT/Agent.KT Trojaner. Hier mein Logfile von Hijack im abgesicherten Modus. Wenn ich den PC normal starte, kann ich mittlerweile leider gar nichts mehr öffnen. Kann mir einer helfen?
Danke!

Logfile of HijackThis v1.99.1
Scan saved at 15:25:51, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dtpxc.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A67AC66F-E66D-B230-07D8-8163A013AE40} - C:\WINDOWS\system32\appqa32.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [sysbo32.exe] C:\WINDOWS\system32\sysbo32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [apitt.exe] C:\WINDOWS\apitt.exe
O4 - HKLM\..\Run: [29.tmp] C:\DOKUME~1\cm\LOKALE~1\Temp\29.tmp.exe 0 28129
O4 - HKLM\..\Run: [1C.tmp.exe] C:\DOKUME~1\cm\LOKALE~1\Temp\1C.tmp.exe 1 28129
O4 - HKLM\..\Run: [1C.tmp] C:\DOKUME~1\cm\LOKALE~1\Temp\1C.tmp.exe 1 28129
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdateV3 - Activex Control) - http://support.fujitsu-siemens.de/De...pi/activex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33F13A58-69AD-47EE-B6B9-5F9769E2F94D}: NameServer = 194.25.2.129,212.185.252.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{33F13A58-69AD-47EE-B6B9-5F9769E2F94D}: NameServer = 194.25.2.129,212.185.252.73
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINDOWS\msdu.exe (file missing)