|
Plagegeister aller Art und deren Bekämpfung: TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.02.2005, 21:20 | #1 |
| TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das. Hallo, seit einigen Tagen meldet mir AntiVir sehr oft den Trojaner TR/Agent.KT, und seit heute auch noch TR/Lefeat.DLL1. Keine der Optionen (löschen, überschreiben, Quarantäne etc.) hat bis jetzt gefruchtet. Spybot habe ich leider erst nach dem Einfangen des Wurms installiert, es meldet sehr oft Registry-Änderungen, die ich natürlich verweigere. Der Windows-Explorer startet jetzt nicht mehr, genauso wie die darauf basierenden Funktionen, z.B. Suche. Für Tipps wäre ich sehr dankbar! Grüße, Held Hier das HijackThis-Log: Logfile of HijackThis v1.99.1 Scan saved at 21:11:26, on 23.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\system32\systc32.exe C:\Programme\Antivirus\AntiVir\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\avmclient\bluefritz!.exe C:\Programme\Antivirus\Spybot 1.3\TeaTimer.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Antivirus\AntiVir\AVGUARD.EXE C:\Programme\Antivirus\AntiVir\AVWUPSRV.EXE C:\Programme\VPN-Client\cvpnd.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Held\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\goauz.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\goauz.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\goauz.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\goauz.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\goauz.dll/sp.html#44768 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\goauz.dll/sp.html#44768 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {06F15B62-E066-EAC0-C6DA-FC50FF5155F2} - C:\WINDOWS\ipzr.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [systc32.exe] C:\WINDOWS\system32\systc32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivirus\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Antivirus\Spybot 1.3\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: FernUniHagen FU Client.lnk = C:\Programme\VPN-Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Cl...ridge-c135.cab O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/b1302545/enter.cab O16 - DPF: {26D73573-F1B3-48C9-A989-E6CE071957A1} - http://akamai.downloadv3.com/binarie...SS_1057_XP.cab O16 - DPF: {5D7334F5-CF58-4F22-8502-6CC0ACB2FE6B} - http://www.easypay.eu.com/rbp/axrbp.cab O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} - http://dialxs.nl/install/dialxs.ocx O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C2767B67-F571-474F-BBE5-8E74C1CAE8A8}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivirus\AntiVir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivirus\AntiVir\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN-Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Network Security Service (NSS) (%AF夶À¨) - Unknown owner - C:\WINDOWS\apist32.exe (file missing) |
23.02.2005, 21:55 | #2 |
| TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das. Hi,
__________________vielleicht hilft das lesen hier schon mal
__________________ |
24.02.2005, 21:32 | #3 |
| TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das. Okay, schon mal danke für den Einstiegstipp. eScan im abgesicherten Modus hat nun dieses Ergebnis gebracht:
__________________Wed Feb 23 23:58:32 2005 => Total Files Scanned: 58213 Wed Feb 23 23:58:32 2005 => Total Virus(es) Found: 15 Wed Feb 23 23:58:32 2005 => Total Disinfected Files: 0 Wed Feb 23 23:58:32 2005 => Total Files Renamed: 0 Wed Feb 23 23:58:32 2005 => Total Deleted Files: 0 Wed Feb 23 23:58:32 2005 => Total Errors: 12 Wed Feb 23 23:58:32 2005 => Time Elapsed: 01:26:30 Wed Feb 23 23:58:32 2005 => Virus Database Date: 2005/02/14 Wed Feb 23 23:58:32 2005 => Virus Database Count: 118236 Wed Feb 23 23:58:32 2005 => ***** Scanning complete. ***** File C:\WINDOWS\ipzr.dll infected by Trojan-Downloader.Win32.Agent.jb File C:\WINDOWS\NETSD.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\system32\EGDACCESS_1057.dll infected by not-a-virus:PornWare.Dialer.InstantAccess File C:\WINDOWS\system32\NETXB.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\system32\SDKSS.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\Programme\Antivirus\AntiVir\INFECTED\APIST32.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\NETSD.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\system32\EGDACCESS_1057.dll infected by not-a-virus:PornWare.Dialer.InstantAccess File C:\WINDOWS\system32\NETXB.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\system32\SDKSS.EXE.VIR infected by Backdoor.Win32.Small.dc File D:\Software\DivXPro503.exe infected by not-a-virus:Tool.Win32.Reboot File C:\WINDOWS\NETSD.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\system32\EGDACCESS_1057.dll infected by not-a-virus:PornWare.Dialer.InstantAccess File C:\WINDOWS\system32\NETXB.EXE.VIR infected by Backdoor.Win32.Small.dc File C:\WINDOWS\system32\SDKSS.EXE.VIR infected by Backdoor.Win32.Small.dc --------------------------- Das meiste scheinen mir von AntiVir umbenannte Dateien zu sein, aber einen interessanten Dialer habe ich da... tz, tz, tz Ich möchte es gern ohne Neuaufsetzen probieren. Wie könnte ich das angehen? Danke & Grüße Held |
24.02.2005, 21:46 | #4 |
| TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das. @Held der dialer auf diskette speichern, zwecks beweissicherung. da du dieser Backdoor.Win32.Small.dc im system hast, kann ich dir nur raten dein system neuaufzusetzen hier eine anleitung http://www.trojaner-board.de/showpos...28&postcount=2 Ich möchte es gern ohne Neuaufsetzen probieren. Wie könnte ich das angehen? geht nicht bei backdoors, system gilt als kompromittiert bitte mal nachlesen sry chaosman
__________________ Bonus vir semper tiro |
Themen zu TR/Agent.KT + TR/Lefeat.DLL1 Dolle Sache, das. |
.dll, adobe, antivir, antivir update, antivirus, avg, bho, dateien, desktop, einstellungen, excel, google, hijack, hotkey, internet, internet explorer, löschen, messenger, microsoft, outlook express, pdf, programme, quara, security, software, sun java, system, trojaner, urlsearchhook, windows messenger, windows xp, windows-explorer |