![]() |
|
Log-Analyse und Auswertung: TR/Agent.KT Bitte um HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe Hallo zusammen, ich hab schon mehrere Beiträge hier im Forum gelesen und versucht, mir selbst zu helfen, aber es will einfach nicht klappen. Sobald ich der Rechner hochgefahren ist, erscheinen auch schon von AntiVir Guard die ersten Hinweise auf "Agent KT". Es werden mehrere Dateien dieses Trojaners angezeigt. Aber selbst durch Überschreiben und Löschen dieser Dateien ist das Problem nicht behoben. Sobald ich den IE starte, erscheinen weitere Meldungen mit Dateien. Aber damit nicht genug : Ich erhalte die Windows-Mitteilung, dass der IE beendet werden muss, weil ein Problem festgestellt wurde. Ich habe Antivir, Spybot, E-Trust Antivirus, Ad-Aware suchen lassen. Ich finde auch was, aber bekomme es nicht dauerhaft entfernt. Selbst wenn die Programme die Dateien löschen oder bereinigen, bleibt das Problem bestehen. Eben habe ich auch noch HijackThis scannen lassen und die mir verdächtigen Zeilen entfernt, aber es klappt immer noch nicht. Die Startseite lässt sich nicht verändern und lautet "About:blank" Sobald ich eine andere festlege, erscheint beim Starten des IE wieder About:blank und in den Favoriten finde ich mehrere neue Adressen. Sorry, wenn das jetzt nach nem Roman aussieht, aber 2 Sachen muss ich noch erwähnen : Wenn ich den Pc runterfahre, erscheint die Windows-Problem-Meldung : "Programm beenden : Taskbar Windows" Wenn ich ihn hochfahre erscheint : "RUNDLL Fehler beim Laden von snim.dll - das angegebene Modul wurde nicht gefunden" Ich schreibe jetzt von meinem 2. Rechner, da ich auf dem anderen dauernd aus dem IE rausfliege. Kann mir jemand behilflich sein, ich möchte vermeiden, XP neu installieren zu müssen. Vielen Dank im voraus Sputnik |
![]() | #2 |
![]() ![]() ![]() | ![]() TR/Agent.KT Bitte um Hilfe @Sputnik
__________________poste ein HJT logfile chaosman
__________________ |
![]() | #3 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe Sorry, ich möchte nicht ungeduldig wirken, aber weiss niemand guten Rat für mich???
__________________Ich habe mittlerweile gelesen, wie das funktioniert mit dem Update für eScan, habe das auch durchgeführt und neu gescannt. Resultat : Total Virus(es) Found : 95 Total Errors : 61 Ich fange an, zuverzweifeln, weil ich viele Anwendungen auf dem Rechner installiert habe und vermeiden wollte, XP neu zu installieren. Was kann ich noch tun? Bitte helft mir Danke |
![]() | #4 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe Tag zusammen, ich entschuldige mich schon sofort, dass ich wieder um Hilfe bitte, aber ich habe 3 oder 4 mal hintereinander geschrieben, bekomme aber leider keine Antwort. Ich befürchte nun, dass ich in Vergessenheit gerate, weil mein Beitrag immer weiter nach hinten rückt. Für jede Hilfe immer dankbar Grüße S. |
![]() | #5 |
![]() ![]() ![]() | ![]() TR/Agent.KT Bitte um Hilfe Hallo, ich rate dir dringend dazu, dein System neu aufzusetzen! -> Anleitung Ansonsten poste mal die Funde von eScan: -> "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) |
![]() | #6 |
![]() ![]() | ![]() TR/Agent.KT Bitte um Hilfe bzgl. des entpackens der Datei mwav.exe in den Ordner c:\bases das stand alles in dem Link http://www.trojaner-board.de/42731-escan-anleitung.html den chaosman gepostet hatte. Du benötigst dafür ein Zip-Programm wie Winzip oder Winrar (ich benutze IzArc ist freeware) da rechts-click auf die Datei und Entzippen bzw. Extrahieren nach ... Ordner c:\bases angeben oder auswählen my2cent net |
![]() | #7 |
![]() ![]() ![]() ![]() | ![]() TR/Agent.KT Bitte um Hilfe |
![]() | #8 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe Hier das Logfile : Logfile of HijackThis v1.99.1 Scan saved at 15:39:01, on 19.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Eigene Programme\0190-Warner\0190 Warner\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Eigene Programme\AntiVir\AVGUARD.EXE C:\Eigene Programme\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\RunDll32.exe C:\EIGENE~1\0190-W~1\0190WA~1\WARN0190.EXE C:\WINDOWS\DitExp.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Eigene Programme\Atomuhr\PTBSync\PTBSync.exe C:\WINDOWS\System32\open32.exe C:\WINDOWS\iplc.exe C:\Eigene Programme\AntiVir\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Dokumente und Einstellungen\Startmenü\Programme\Autostart\winupdate74923878[1].exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\hhnra.dll/sp.html#12345 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {FEB9B1F6-DC93-C433-FF81-736D5584316B} - C:\WINDOWS\system32\msfl.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [0190 Warner] C:\EIGENE~1\0190-W~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\prvdi.exe O4 - HKLM\..\Run: [PTBSync] C:\Eigene Programme\Atomuhr\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [appty.exe] C:\WINDOWS\system32\appty.exe O4 - HKLM\..\Run: [Shell] open32.exe O4 - HKLM\..\Run: [iplc.exe] C:\WINDOWS\iplc.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Eigene Programme\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe snim.dll, DllRegisterServer O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O4 - Startup: winupdate74923878[1].exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O13 - WWW. Prefix: http:// O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...37c6314a45eb37 O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/1ba86092/enter.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Eigene Programme\0190-Warner\0190 Warner\w0svc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Eigene Programme\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Eigene Programme\AntiVir\AVWUPSRV.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: Remote Procedure Call (RPC) Helper (%AF夶À¨) - Unknown owner - C:\WINDOWS\iejv32.exe (file missing) Geändert von Sputnik (20.02.2005 um 14:04 Uhr) |
![]() | #9 |
![]() ![]() ![]() | ![]() TR/Agent.KT Bitte um Hilfe @Sputnik du hast einiges im system lade escan download http://www.trojaner-board.de/42731-escan-anleitung.html anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman
__________________ Bonus vir semper tiro |
![]() | #10 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe Danke für die schnelle Antwort, ....update den eScan online und führe ihn offline im abgesicherten Modus aus. Wie starte ich meinen Rechner, damit er im abgesicherten Modus hochfährt? Sorry, ist ne blöde Frage, aber das hab ich echt noch nie nötig gehabt... |
![]() | #11 | |
![]() ![]() ![]() ![]() | ![]() TR/Agent.KT Bitte um HilfeZitat:
Beim hochfahren des Rechners mehrfach F8 drücken! |
![]() | #12 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe das mit eScan habe ich gestern in den Griff bekommen und neu gescannt. (wie vorhin schon erwähnt). Nun gut, ich fand auch mehrere Einträge, die mit "Backdoor" umschrieben waren. Habe auch alles mögliche gelöscht (bitte meine vorigen Antworten anschauen), aber nach meinem ersten erneuten Aufrufen des IE war alles wie vorher. Und ein neues Scannen brachte wieder knapp 100 Funde. Ich kann das ganze nochmals durchführen und das Ergebnis hier rein setzen oder aber ich versuche, wie Haui45 vorschlägt, anhand der Anleitung, XP neu aufzuspielen. Ist das vielleicht sogar sinnvoller, da eScan 2 Stunden braucht, bis es fertig ist? Danke H |
![]() | #13 | |
![]() ![]() | ![]() TR/Agent.KT Bitte um HilfeZitat:
dartus |
![]() | #14 | |
![]() ![]() | ![]() TR/Agent.KT Bitte um HilfeZitat:
mfg |
![]() | #15 |
![]() | ![]() TR/Agent.KT Bitte um Hilfe ok, danke, werde ich dann machen. Ich hoffe sehr, dass ich klar komme mit der Anleitung, habe sowas leider noch nie gemacht. Ich habe auch die Recover-CD, die beim PC mitgeliefert wurde. Kann ich damit auch was anfangen?? (vielleicht wäre das einfacher für mich) |
![]() |
Themen zu TR/Agent.KT Bitte um Hilfe |
ad-aware, agent, antivir, antivir guard, antivirus, askbar, beim starten, bitte um hilfe, das angegebene modul wurde nicht gefunden, dateien, dll, fehler, festgestellt, forum, helfen, hijack, hijackthis, löschen, mehrere, modul, neu installieren, neue, nicht gefunden, problem, programme, rundll, rundll fehler, scan, seite, starten, startseite, suche |