Hallo zusammen,

ich hab schon mehrere Beiträge hier im Forum gelesen und versucht, mir selbst zu helfen, aber es will einfach nicht klappen.
Sobald ich der Rechner hochgefahren ist, erscheinen auch schon von AntiVir Guard die ersten Hinweise auf "Agent KT". Es werden mehrere Dateien dieses Trojaners angezeigt. Aber selbst durch Überschreiben und Löschen dieser Dateien ist das Problem nicht behoben.
Sobald ich den IE starte, erscheinen weitere Meldungen mit Dateien. Aber damit nicht genug : Ich erhalte die Windows-Mitteilung, dass der IE beendet werden muss, weil ein Problem festgestellt wurde.
Ich habe Antivir, Spybot, E-Trust Antivirus, Ad-Aware suchen lassen. Ich finde auch was, aber bekomme es nicht dauerhaft entfernt. Selbst wenn die Programme die Dateien löschen oder bereinigen, bleibt das Problem bestehen. Eben habe ich auch noch HijackThis scannen lassen und die mir verdächtigen Zeilen entfernt, aber es klappt immer noch nicht.
Die Startseite lässt sich nicht verändern und lautet "About:blank" Sobald ich eine andere festlege, erscheint beim Starten des IE wieder About:blank und in den Favoriten finde ich mehrere neue Adressen.

Sorry, wenn das jetzt nach nem Roman aussieht, aber 2 Sachen muss ich noch erwähnen :
Wenn ich den Pc runterfahre, erscheint die Windows-Problem-Meldung : "Programm beenden : Taskbar Windows"
Wenn ich ihn hochfahre erscheint : "RUNDLL Fehler beim Laden von snim.dll - das angegebene Modul wurde nicht gefunden"

Ich schreibe jetzt von meinem 2. Rechner, da ich auf dem anderen dauernd aus dem IE rausfliege.

Kann mir jemand behilflich sein, ich möchte vermeiden, XP neu installieren zu müssen.

Vielen Dank im voraus

Sputnik

@Sputnik
poste ein HJT logfile

chaosman

Sorry, ich möchte nicht ungeduldig wirken, aber weiss niemand guten Rat für mich???
Ich habe mittlerweile gelesen, wie das funktioniert mit dem Update für eScan, habe das auch durchgeführt und neu gescannt.
Resultat :
Total Virus(es) Found : 95
Total Errors : 61

Ich fange an, zuverzweifeln, weil ich viele Anwendungen auf dem Rechner installiert habe und vermeiden wollte, XP neu zu installieren. Was kann ich noch tun?

Bitte helft mir

Danke

Tag zusammen,

ich entschuldige mich schon sofort, dass ich wieder um Hilfe bitte, aber ich habe 3 oder 4 mal hintereinander geschrieben, bekomme aber leider keine Antwort. Ich befürchte nun, dass ich in Vergessenheit gerate, weil mein Beitrag immer weiter nach hinten rückt.

Für jede Hilfe immer dankbar

Grüße
S.

Hallo,
ich rate dir dringend dazu, dein System neu aufzusetzen! -> Anleitung

Ansonsten poste mal die Funde von eScan:
-> "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

bzgl. des entpackens der Datei mwav.exe in den Ordner c:\bases

das stand alles in dem Link http://www.trojaner-board.de/42731-escan-anleitung.html den chaosman gepostet hatte. Du benötigst dafür ein Zip-Programm wie Winzip oder Winrar (ich benutze IzArc ist freeware) da rechts-click auf die Datei und Entzippen bzw. Extrahieren nach ... Ordner c:\bases angeben oder auswählen

my2cent

net

Poste ein Logfile hier her!

http://filepony.de/download-hijackthis/

Hier das Logfile :


Logfile of HijackThis v1.99.1
Scan saved at 15:39:01, on 19.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Eigene Programme\0190-Warner\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Eigene Programme\AntiVir\AVGUARD.EXE
C:\Eigene Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\RunDll32.exe
C:\EIGENE~1\0190-W~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Eigene Programme\Atomuhr\PTBSync\PTBSync.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\iplc.exe
C:\Eigene Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Dokumente und Einstellungen\Startmenü\Programme\Autostart\winupdate74923878[1].exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FEB9B1F6-DC93-C433-FF81-736D5584316B} - C:\WINDOWS\system32\msfl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [0190 Warner] C:\EIGENE~1\0190-W~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe
O4 - HKLM\..\Run: [PTBSync] C:\Eigene Programme\Atomuhr\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [appty.exe] C:\WINDOWS\system32\appty.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [iplc.exe] C:\WINDOWS\iplc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Eigene Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe snim.dll, DllRegisterServer
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Startup: winupdate74923878[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...37c6314a45eb37
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/1ba86092/enter.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Eigene Programme\0190-Warner\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Eigene Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Eigene Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Remote Procedure Call (RPC) Helper (�%AF夶À¨) - Unknown owner - C:\WINDOWS\iejv32.exe (file missing)

@Sputnik
du hast einiges im system
lade escan
download
http://www.trojaner-board.de/42731-escan-anleitung.html anleitung

überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Danke für die schnelle Antwort,

....update den eScan online und führe ihn offline im abgesicherten Modus aus.

Wie starte ich meinen Rechner, damit er im abgesicherten Modus hochfährt?
Sorry, ist ne blöde Frage, aber das hab ich echt noch nie nötig gehabt...

Zitat:

Zitat von Sputnik

Wie starte ich meinen Rechner, damit er im abgesicherten Modus hochfährt?
Sorry, ist ne blöde Frage, aber das hab ich echt noch nie nötig gehabt...

Beim hochfahren des Rechners mehrfach F8 drücken!

das mit eScan habe ich gestern in den Griff bekommen und neu gescannt. (wie vorhin schon erwähnt).
Nun gut, ich fand auch mehrere Einträge, die mit "Backdoor" umschrieben waren. Habe auch alles mögliche gelöscht (bitte meine vorigen Antworten anschauen), aber nach meinem ersten erneuten Aufrufen des IE war alles wie vorher. Und ein neues Scannen brachte wieder knapp 100 Funde.

Ich kann das ganze nochmals durchführen und das Ergebnis hier rein setzen oder aber ich versuche, wie Haui45 vorschlägt, anhand der Anleitung, XP neu aufzuspielen.

Ist das vielleicht sogar sinnvoller, da eScan 2 Stunden braucht, bis es fertig ist?

Danke
H

Zitat:

Zitat von Sputnik

Nun gut, ich fand auch mehrere Einträge, die mit "Backdoor" umschrieben waren.

Befolge den Vorschlag von Haui45!

dartus

Zitat:

Zitat von Sputnik

Ich kann das ganze nochmals durchführen und das Ergebnis hier rein setzen oder aber ich versuche, wie Haui45 vorschlägt, anhand der Anleitung, XP neu aufzuspielen.

Ist das vielleicht sogar sinnvoller, da eScan 2 Stunden braucht, bis es fertig ist?

ja ist in deinem Fall sicherlich sinnvoller ... Zeitaufwand ist oft der selbe und du bist nie sicher. Du hast ja bereits bemerkt was ein Trojan-Downloader/Dropper anrichten kann wenn er nicht entfernt wird und du dich wieder mit dem Netz verbindest. Folge der Anleitung zum absichern aber Schritt für Schritt, damit du nicht beim ersten Start mit neu aufgesetztem System sofort wieder zum Opfer wirst. Edit: Ach, ... und vergiss nicht alle Sachen zu sichern die für dich wichtig sind.

mfg

ok, danke, werde ich dann machen. Ich hoffe sehr, dass ich klar komme mit der Anleitung, habe sowas leider noch nie gemacht.
Ich habe auch die Recover-CD, die beim PC mitgeliefert wurde. Kann ich damit auch was anfangen?? (vielleicht wäre das einfacher für mich)