hallo leute, habe hier ein problem mit trojaner die ich nicht weg kriege wer kann mir helfen . es handelt sich um den trojaner TR/Agent.GP und TR/Agent.DB.1

@yunuz

poste bitte ein HJT logfile, poste auch wo die Trojaner gefunden würden.

chaosman

Edit:
Hi Gigamail

Hallo,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.

Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe


<Edit: Servus Chaosman

danke für deine hilfe aber ich habs nicht so mit rechner kannst du mir bitte das für verständlicher erklären !(links editieren und so hjt?)

C:\WINDOWS\system32
dmlsn.exe
[FUND!] Ist das Trojanische Pferd TR/DNSChanger.S.1.B
WURDE GELÖSCHT!
dmvdc.exe
[FUND!] Ist das Trojanische Pferd TR/DNSChanger.S.1.B
WURDE GELÖSCHT!
DrPMon.dll
[FUND!] Ist das Trojanische Pferd TR/Agent.DB.1
Konnte nicht gelöscht werden!
gzwggo.exe
[FUND!] Ist das Trojanische Pferd TR/Agent.GP
Konnte nicht gelöscht werden!

@yunuz
Links editieren steht in meinen Signatur
HJT Anleitung

chaosman

Logfile of HijackThis v1.99.1
Scan saved at 21:29:13, on 25.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\bfoujvd.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
D:\programme\Phone\Skype.exe
C:\Neuer Ordner (2)\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN

Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN

Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN

Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [qhctigc] C:\WINDOWS\system32\bfoujvd.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) -


69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ED0E8F7-E7BD-4DFE-B367-7134BBAA7DDF}: NameServer =

69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{E58695E1-046D-4851-852C-5B6199F6E3D4}: NameServer =

69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCF26CA3-FB67-4CD2-B433-14B76F6DFBFC}: NameServer =

69.50.176.198,85.255.112.12
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file

missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

shit die links habe ich übersehen und jetzt ?

@yunuz

klicke auf den button editieren, dann kannst du die links deaktivieren.

chaosman

hi chaosmann, wie gehts jetzt weiter ??

Kann mir jemand weiter helfen ???????????

Überprüfe bitte die folgende Datei online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Zitat:

C:\Programme\winupdate\winupdate.exe

Benutze die Suche-Funktion. Dein Stichwort lautet nail.exe.

Lasse weiterhin die Datei
C:\Programme\winupdate\winupdate.exe
hier prüfen:
http://virusscan.jotti.org/de/
Teile das Ergebnis mit.

hi leute , danke für eure antwort .
aber der sagt " datei konnte nicht gefunden werden "
und bei der suche nach nail.exe. macht er mir was von C:\dokumente und einstellungen auf . was soll ich machen ????????

dann siehst du vielleicht nicht alle dateien.
extras -> ordneroptionen -> ansicht
"geschützte systemdateien ausblenden" haken weg
"inhalte von systemordnern anzeigen" haken hin
"alle dateien und ordner anzeigen" selektieren
nochmal suchen und löschen

alternativ gibts auch den remover zu nail.exe (meiner meinung nach nicht so empfehlenswert..)

abgesehen davon warten wir noch auf das ergebnis von virusscan.jotti.org

Hallo???

Wo und wem kann ich meine Frage stellen???
Habe einen TR/DNS Changer.S.1.B laut AV-Programm und kenne mich nicht gut mit PC´s aus...
Bin ich hier richtig???Bitte helft mir!!!

Gruss GreenH