FUND! Ist das Trojanische Pferd TR/SP.Hitcher.A ... im Treiber .. bitte um Hilfe

Diana · 12.08.2005, 18:45

Hallo !
PC lauft seit Tagen langsam und hängt sich ständig auf. Über den Anti- Virusscan erhielt ich folgende Meldung:
C:\XPTreiber\chipset\SIS\AGP
sissagp49.exe
ArchiveType: ZIP SFX /self extracting)
-->AGP\htpatch/HTinst.exe
FUND! Ist das Trojanische Pferd TR/SP.Hitcher.A

1. Frage: was bewirkt der im Treiber böses ?

da er das aus diesen Datein das löschen verweigert, versuchte ich
SpyBot: nix gef.
A2: nix.
SpyAudit: nix
yahoo spy : nix

2. Frage :Spy sweeper ist abgelaufen, den zu kaufen ist das eigentl. bei meinen Progr. die ich habe noch sinnvoll?

3. Frage: wie bekome ich das wieder raus.. was Antivirus anzeigte... ist hier was zu sehen ? Hab leider niemanden, der mir PC mäßig helfen kann. Habe desh. noch SP1 drauf. Und Keine Ahnung groß habe. Auch daß der Hijack This trotz Eurer Anleitung noch unter Temp öffnet verstehe ich nicht. Ist doch unter Programme abgelegt.
4. Frage: Was kann ich von da unten von löschen und wie ist es wirkl. raus?

Schlimmer ist aber der obige Trojahner der mich ständig "aufhängt"

dann HijackThis: Mein logfile... bitte mal prüfen.

Logfile of HijackThis v1.99.1
Scan saved at 19:14:43, on 12.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\0190wa~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\BHODemon 2\BHODemon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\a2 free\a2start.exe
C:\Programme\a2 free\a2scan.exe
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar *.*us.rd.yahoo.com/customize/ycomp/defaults/sb/ * .*yahoo.com/search/ie.html[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page *.*//us.rd.yahoo.com/customize/ycomp/defaults/sp/
*.* .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL, (Default) **. us.rd.yahoo.com/customize/ycomp/defaults/su/ *.* yahoo.com[/url]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Cooxie - {DC99E960-6594-45e3-9D5D-141D825B8096} - C:\Programme\Cooxie Toolbar\PrvcBand.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {51F2DD28-790E-4CCB-8CBC-96B51F5503C8} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {51F2DD28-790E-4CCB-8CBC-96B51F5503C8} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab -
O16 - DPF: Yahoo! Chat -
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} -
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - *.* us.dl1.yimg.com/ download.yahoo.com/dl/installs/yinst20040510.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url] *.* update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122410237984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} -
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\progra~1\0190wa~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

felix1 · 12.08.2005, 18:58

Lade und update Ad-aware und Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Fixe im abgesicherten Modus mit HJT:
O16 - DPF: ppctlcab -
O16 - DPF: Yahoo! Chat -
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} -
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://*.* us.dl1.yimg.com/download...nst20040510.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} -

Und lasse die Datei mal hier prüfen:
C:\XPTreiber\chipset\SIS\AGP
sissagp49.exe

http://virusscan.jotti.org/de/

Diana · 12.08.2005, 21:29

Danke erst mal. Habe alle nach Anweisung gemacht. Auch im abgesicherten Modus etc, habe die 016 er nach Neustart des PC aus dem in den Normalmodus aber wieder drin gehabt. 5 mal versucht. Hijack zeigt es imme wieder an.
Auch der TR/SP Hitcher.A ist noch da und sitzt im Triber irgendwo und wird nur bei AV Sacan angezeigt und diese Datei löscht der nicht.

Noch weitere Ideen ?

Der PC hängt sich immer wieder auf.

felix1 · 13.08.2005, 12:26

Und was ergab der Scan bei Jotti?
Dein System ist veraltet. SP2 und Updates fehlen.

Diana · 13.08.2005, 16:45

Vieleicht hat Avirus wieder eine Fehlermeldung, die keine ist ?

lt. AntiVirus unter im u.a. XP-Treiber SISSAGP49 e... Openhei.sys

JOTTI schmeißt nur eine wilde Liste raus.. ist die nur für mich ? Oder sind da alle zuletzt angezeigten Scans anderer drin. Gute Frage.

Ich würde ja auch gerne SP2 haben. Ich habe aber keine Ahnung wie das dann eingestellt wird . Wird auch immer von abgeraten. Warum auch immer. Kenne wirklich niemanden, der mir das einrichten könnte. Ich bin froh, daß ich weiß, wie ich update und das ich das alles so hinbekomme. Probiere. Zu meiner Zeit gab es noch keine PCs. Ich liebe es zu lernen. Nur wenn was schief geht .. Und was muß ich bei SP2 beachten. Tja..

Ich update für SP1 aber immer regelmäßig bei Mr B.Gates.. ?? wieso kene updates.

Bin Ratlos. Würde alles so gerne wissen und können, damit ich mir selber helfen kann. ... was ich nach runterladen bei SP2 so machen muß das alles wieeder so läuft wie vorher. Traue mich das alleine nicht. Soll so schwierig sein.. und es wird oft von abgeraten ???

Fazit:

Ich habe mal gestern e-scan runtergeladen, den ich hier fand. werde den im abgesicherten Modus mal laufen lassen und Ergebnisse hier posten.

Zitat:

Zitat von felix1

Und was ergab der Scan bei Jotti?
Dein System ist veraltet. SP2 und Updates fehlen.

13.08.2005, 12:26	#4
felix1 /// Helfer-Team	FUND! Ist das Trojanische Pferd TR/SP.Hitcher.A ... im Treiber .. bitte um Hilfe Und was ergab der Scan bei Jotti? Dein System ist veraltet. SP2 und Updates fehlen.

FUND! Ist das Trojanische Pferd TR/SP.Hitcher.A ... im Treiber .. bitte um Hilfe

Log-Analyse und Auswertung: FUND! Ist das Trojanische Pferd TR/SP.Hitcher.A ... im Treiber .. bitte um Hilfe