Hallo zusammen,

ich hab schon mehrere Beiträge hier im Forum gelesen und versucht, mir selbst zu helfen, aber es will einfach nicht klappen.
Sobald ich der Rechner hochgefahren ist, erscheinen auch schon von AntiVir Guard die ersten Hinweise auf "Agent KT". Es werden mehrere Dateien dieses Trojaners angezeigt. Aber selbst durch Überschreiben und Löschen dieser Dateien ist das Problem nicht behoben.
Sobald ich den IE starte, erscheinen weitere Meldungen mit Dateien. Aber damit nicht genug : Ich erhalte die Windows-Mitteilung, dass der IE beendet werden muss, weil ein Problem festgestellt wurde.
Ich habe Antivir, Spybot, E-Trust Antivirus, Ad-Aware suchen lassen. Ich finde auch was, aber bekomme es nicht dauerhaft entfernt. Selbst wenn die Programme die Dateien löschen oder bereinigen, bleibt das Problem bestehen. Eben habe ich auch noch HijackThis scannen lassen und die mir verdächtigen Zeilen entfernt, aber es klappt immer noch nicht.
Die Startseite lässt sich nicht verändern und lautet "About:blank" Sobald ich eine andere festlege, erscheint beim Starten des IE wieder About:blank und in den Favoriten finde ich mehrere neue Adressen.

Sorry, wenn das jetzt nach nem Roman aussieht, aber 2 Sachen muss ich noch erwähnen :
Wenn ich den Pc runterfahre, erscheint die Windows-Problem-Meldung : "Programm beenden : Taskbar Windows"
Wenn ich ihn hochfahre erscheint : "RUNDLL Fehler beim Laden von snim.dll - das angegebene Modul wurde nicht gefunden"

Ich schreibe jetzt von meinem 2. Rechner, da ich auf dem anderen dauernd aus dem IE rausfliege.

Kann mir jemand behilflich sein, ich möchte vermeiden, XP neu installieren zu müssen.

Vielen Dank im voraus

Sputnik

@Sputnik
poste ein HJT logfile

chaosman

Poste ein Logfile hier her!

http://filepony.de/download-hijackthis/

Hier das Logfile :


Logfile of HijackThis v1.99.1
Scan saved at 15:39:01, on 19.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Eigene Programme\0190-Warner\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Eigene Programme\AntiVir\AVGUARD.EXE
C:\Eigene Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\RunDll32.exe
C:\EIGENE~1\0190-W~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Eigene Programme\Atomuhr\PTBSync\PTBSync.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\iplc.exe
C:\Eigene Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Dokumente und Einstellungen\Startmenü\Programme\Autostart\winupdate74923878[1].exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FEB9B1F6-DC93-C433-FF81-736D5584316B} - C:\WINDOWS\system32\msfl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [0190 Warner] C:\EIGENE~1\0190-W~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe
O4 - HKLM\..\Run: [PTBSync] C:\Eigene Programme\Atomuhr\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [appty.exe] C:\WINDOWS\system32\appty.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [iplc.exe] C:\WINDOWS\iplc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Eigene Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe snim.dll, DllRegisterServer
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Startup: winupdate74923878[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...37c6314a45eb37
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/1ba86092/enter.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Eigene Programme\0190-Warner\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Eigene Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Eigene Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINDOWS\iejv32.exe (file missing)

@Sputnik
du hast einiges im system
lade escan
download
http://www.trojaner-board.de/42731-escan-anleitung.html anleitung

überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Danke für die schnelle Antwort,

....update den eScan online und führe ihn offline im abgesicherten Modus aus.

Wie starte ich meinen Rechner, damit er im abgesicherten Modus hochfährt?
Sorry, ist ne blöde Frage, aber das hab ich echt noch nie nötig gehabt...

Zitat:

Zitat von Sputnik

Wie starte ich meinen Rechner, damit er im abgesicherten Modus hochfährt?
Sorry, ist ne blöde Frage, aber das hab ich echt noch nie nötig gehabt...

Beim hochfahren des Rechners mehrfach F8 drücken!

ok, ich melde mich gleich

eScan habe ich jetzt auf dem anderen Rechner drauf. In dem Link für die Anleitung ist eine Datei "kavupd.exe" angegeben, mit der ich eScan updaten soll. Aber ich habe nur eine einzige Datei "mwav.exe". Wie kann ich das Programm updaten? Ich sehe auch keine Schaltfläche, die das ermöglichen würde.

Hallo nochmals,

ich habe nun eScan laufen lassen (leider konnte ich das nicht updaten - Begründung in meiner vorigen Antwort) und ich fand - bitte nicht erschrecken - 146! Einträge. Bei "Total Errors" stand 42.
Ich würd ja gerne den Inhalt von "Virus Log Information" hier rein posten, aber bekomme das nicht da raus kopiert.
Frage : Kann ich bedenkenlos ALLE Dateien löschen, die z.B. so umschrieben sind:
C:\\WINDOWS\System32\aunsfaaa.exe infected by "not-a-virus:AdWare.WinAD.p"Virus. Action Taken:No Action Taken

und andere, die heißen:".....tagged as not-a-virus:Tool.Win32 Reboot.No Action Taken" muss ich doch lassen.

Ist das korrekt so?


Vielen Dank

da bin ich nochmal,
ich habe das so gemacht, wie ich untenstehend beschrieben habe.
Aber das einzige was sich gebessert hat, ist, dass ich nicht mehr aus dem IE rausfliege.
2 Dateien, die ich eigentlich löschen wollte habe ich gelassen, da der Hinweis kam, es handele sich um Systemdateien

in : System Volume Information\Restore\RP287\A0085652.exe infected by "Backdoor.Win32Small dc" Virus.... Das gleiche für A0085693.exe

Es öffnen sich weiterhin Popup-Fenster, auch auch dem Desktop und die Startseite will hartnäckig "About:Blank" bleiben. Die vorhin gelöschten unerwünschten Einträge in den Favoriten erscheinen sofort wieder.

Auch "Antivir Guard" schlägt sofort Alarm, wenn ich den IE öffne. In kurzen Abständen werden dort Dateien angezeigt, die alle zum "Agent KT" gehören sollen. Immer wieder andere Dateien.

Für jede weitere Hilfe bin ich sehr dankbar

Sputnik

Sorry, ich möchte nicht ungeduldig wirken, aber weiss niemand guten Rat für mich???
Ich habe mittlerweile gelesen, wie das funktioniert mit dem Update für eScan, habe das auch durchgeführt und neu gescannt.
Resultat :
Total Virus(es) Found : 95
Total Errors : 61

Ich fange an, zuverzweifeln, weil ich viele Anwendungen auf dem Rechner installiert habe und vermeiden wollte, XP neu zu installieren. Was kann ich noch tun?

Bitte helft mir

Danke

Tag zusammen,

ich entschuldige mich schon sofort, dass ich wieder um Hilfe bitte, aber ich habe 3 oder 4 mal hintereinander geschrieben, bekomme aber leider keine Antwort. Ich befürchte nun, dass ich in Vergessenheit gerate, weil mein Beitrag immer weiter nach hinten rückt.

Für jede Hilfe immer dankbar

Grüße
S.

Hallo,
ich rate dir dringend dazu, dein System neu aufzusetzen! -> Anleitung

Ansonsten poste mal die Funde von eScan:
-> "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

bzgl. des entpackens der Datei mwav.exe in den Ordner c:\bases

das stand alles in dem Link http://www.trojaner-board.de/42731-escan-anleitung.html den chaosman gepostet hatte. Du benötigst dafür ein Zip-Programm wie Winzip oder Winrar (ich benutze IzArc ist freeware) da rechts-click auf die Datei und Entzippen bzw. Extrahieren nach ... Ordner c:\bases angeben oder auswählen

my2cent

net