Probleme mit Trojaner! Log file zur Ansicht!

Loewenmel · 14.01.2006, 15:01

Hallo zusammen!

Ich habe mich gerade eben erst in eurem Board angemeldet und hoffe, dass es Ok ist, dass ich hier ein neues Thema erstelle und es nicht woanders reingehört! Ich kenne mich da nicht so aus.
Genau wie mit Computern. Deshalb bin ich hier.

Vor einer Woche hat mein Freund seinen PC wegen diverser Fehlermeldungen und Virenwarnungen auf Auslieferungszustand zurückgesetzt. Danach soll alles einwandfrei funktioniert haben.
Zwischenzeitlich war sein Vater mal wieder am PC im Internet Surfen, und jetzt plötzlich ist der PC schon wieder "verseucht":
AntiVir gibt Warnungen, hat den Trojaner TR/Dldr.Agent.td.52 entdeckt, allerdings kann ich egal welche Optionen wählen (Quarantäne, löschen, überschreiben etc.), die Meldung kommt immer wieder. Außerdem läuft hin und wieder mal ein Ticker mit dem Inhalt "Warning! Your computer is infected! Press here for help!" über den Bildschirm, wo man auf die teslaplus.com HP geleitet wird. Das nächste ist, dass beim Suchen auf google oder auch generell beim Aufrufen irgendwelcher Seiten ein kleines Pop Up Fenster aufgeht, der mir Werbung anzeigt. Das alles war vorher nicht auf dem PC.

Da wir uns alle nicht gut mit Computern auskennen, wende ich mich hier an euch, damit ihr mir vielleicht bitte helfen könnt. Das wäre sehr lieb.

Da überall die Rede von diesen HijackThis Log files die Rede ist, habe ich mir den Anleitungen entsprechend das Programm zugelegt, es ausgeführt und die Log File auch bearbeitet (Ich hoffe ich habe dabei nichts vergessen).

Hier also der Eintrag:

Logfile of HijackThis v1.99.1
Scan saved at 14:18:27, on 14.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\appvn.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\DOKUME~1\***\LOKALE~1\Temp\9.tmp.exe
C:\WINDOWS\system32\crjf.exe
C:\Programme\Coolspot\Dialer Control\dc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kfcmt.dll/sp.html#12047%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kfcmt.dll/sp.html#12047%resultposition.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kfcmt.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kfcmt.dll/sp.html#12047%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kfcmt.dll/sp.html#12047%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kfcmt.dll/sp.html#12047%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.aldi.com/
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
O2 - BHO: Class - {73646D32-2476-A37E-4BD1-21BB8427DB7E} - C:\WINDOWS\system32\msme.dll (file missing)
O2 - BHO: Class - {BB35FD19-38F4-89DC-FA76-BA6507A5C6D7} - C:\WINDOWS\system32\iels32.dll (file missing)
O2 - BHO: Class - {DF668E96-27EB-767C-CDC7-40ADB11675F2} - C:\WINDOWS\system32\ieiz.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [javabz.exe] C:\WINDOWS\system32\javabz.exe
O4 - HKLM\..\Run: [9.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [A.tmp] C:\DOKUME~1\***\LOKALE~1\Temp\A.tmp.exe
O4 - HKLM\..\Run: [9.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [A.tmp.exe] C:\DOKUME~1\***\LOKALE~1\Temp\A.tmp.exe
O4 - HKLM\..\Run: [crjf.exe] C:\WINDOWS\system32\crjf.exe
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\RunOnce: [appvn.exe] C:\WINDOWS\appvn.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - h**p://www.medionshop.de (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135897929803
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\winyg32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

Kann damit jemand etwas anfangen?
Müssen wir den PC wieder auf Auslieferungszustand zurücksetzten, oder ist das vielleicht gar keine so gute Idee und man sollte den PC mal platt machen?
Oder gibt es ein Tool, mit dem das alles zu beheben ist? Das soll ja angeblich nicht so sicher sein.
Außerdem würde mich mal interessieren, wo man sich dieses Zeugs einfängt, denn ich habe so hartnäckige Viren oder Trojaner etc. noch nie auf meinem Rechner gehabt.

Wäre sehr dankbar, wenn mir jemand helfen könnte, denn alleine traue ich mich da trotz der Anleitungen nicht dran.

Liebe Grüße,
Loewenmel

hoerni26 · 14.01.2006, 15:26

hallo,

bitte führe mal einen Escan genau nach anleitung durch.
wichtig:
bitte sprache auf englisch lassen.
zum schluss teile das ergebniss der find.bat hier mit

Loewenmel · 14.01.2006, 15:39

Wo lad ich das prgramm den runter? Ich bin bei Micro World auf der Hp und lade jetzt mal eine Datei runter, bin aber nicht sicher ob das die richtige ist!?

Sie heißt: awn2k3e.exe

Loewenmel · 14.01.2006, 15:42

Hat sich schon erledigt, habe die richtige Datei mwav.exe gefunden.

Loewenmel · 14.01.2006, 15:48

Ja, jetzt hab ich eine mwav.exe auf dem Desktop.
Ich verstehe die Anleitung dazu nicht. Wie wird das denn jetzt aktualisiert?
Da ist ja nichts zum Entpacken. Und wofür steht der Ordner C:\Bases_X?

Sorry, ich bin in den Sachen nicht so fit.

Bitte darum mir nochmal zu helfen?

hoerni26 · 14.01.2006, 17:05

hallo,

alles was du wissen musst steht in dem link mehr als genau beschrieben.
in ruhe ein paarmal durchlesen und dann erst anfangen.
nicht anfangen und dann lesen

Loewenmel · 14.01.2006, 17:43

Der eScan ist nun fertig gelaufen.

Der Anleitung konnte ich trotz sorgfältigen Lesens nicht ganz folgen, da ich ganz zu Anfang gar keine rar. Datei des eScan Proggis hatte, sondern nur eine exe Datei.

Bin wie in der Anleitung alternativ vorgegangen und habe nun die "infected oder tagged" aus der mwav.log rauskopiert:

Sat Jan 14 16:19:17 2006 => File C:\WINDOWS\system32\ieiz.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:19:26 2006 => File C:\DOKUME~1\Name\LOKALE~1\Temp\9.tmp.exe infected by "not-virus:Hoax.Win32.SpyWare.a" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:19:26 2006 => File C:\WINDOWS\system32\crjf.exe infected by "Trojan-Downloader.Win32.Agent.td" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:19:27 2006 => File C:\WINDOWS\appvn.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:19:48 2006 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Sat Jan 14 16:19:48 2006 => System found infected with cws.homesearch Browser Hijacker ({676575dd-4d46-911d-8037-9b10d6ee8bb5})! Action taken: No Action Taken.
Sat Jan 14 16:19:48 2006 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Sat Jan 14 16:19:48 2006 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Sat Jan 14 16:20:42 2006 => System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Sat Jan 14 16:20:42 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.
Sat Jan 14 16:20:52 2006 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken.
Sat Jan 14 16:20:52 2006 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken.
Sat Jan 14 16:20:53 2006 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken.
Sat Jan 14 16:21:24 2006 => File C:\WINDOWS\sysui32.exe infected by "Trojan-Downloader.Win32.Agent.td" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:22:22 2006 => File C:\WINDOWS\system32\javaju32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:24:15 2006 => File C:\DOKUME~1\Name\LOKALE~1\Temp\9.tmp infected by "not-virus:Hoax.Win32.SpyWare.a" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:28:40 2006 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\9.tmp infected by "not-virus:Hoax.Win32.SpyWare.a" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:28:40 2006 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\9.tmp.exe infected by "not-virus:Hoax.Win32.SpyWare.a" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:29:26 2006 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Jan 14 16:29:26 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\JAVABZ.EXE.VIR
Sat Jan 14 16:29:26 2006 => File C:\Programme\AVPersonal\INFECTED\JAVABZ.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.td" Virus! Action Taken: No Action Taken.

Sat Jan 14 16:29:26 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\KFCMT.DLL.001
Sat Jan 14 16:29:26 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\KFCMT.DLL.VIR
Sat Jan 14 16:29:26 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\NETJM.EXE.VIR
Sat Jan 14 16:29:26 2006 => File C:\Programme\AVPersonal\INFECTED\NETJM.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.

Sat Jan 14 16:29:26 2006 => Scanning File C:\Programme\AVPersonal\INFECTED\WINYG32.EXE.VIR
Sat Jan 14 16:29:26 2006 => File C:\Programme\AVPersonal\INFECTED\WINYG32.EXE.VIR infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:54:01 2006 => File C:\WINDOWS\system32\javaju32.exe infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:56:51 2006 => File C:\WINDOWS\sysui32.exe infected by "Trojan-Downloader.Win32.Agent.td" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:58:13 2006 => File D:\Eigene Dateien\Eigene Musik\Lustige Anhänge\ZUKLEIN.EXE infected by "not-virus:BadJoke.Win32.Delf.m" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:58:49 2006 => File D:\Eigene Dateien\Fun\Exe- Dateien\Zu klein.exe infected by "not-virus:BadJoke.Win32.Delf.m" Virus! Action Taken: No Action Taken.
Sat Jan 14 16:26:30 2006 => File C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\saveinstwm.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.z". Action Taken: No Action Taken.
Sat Jan 14 16:29:31 2006 => File C:\Programme\BearShare\Installer\saveinstwm.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.z". Action Taken: No Action Taken.
Sat Jan 14 16:34:24 2006 => File C:\Programme\Save\Save.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.br". Action Taken: No Action Taken.
Sat Jan 14 16:34:24 2006 => File C:\Programme\Save\SaveUninst.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bt". Action Taken: No Action Taken.
Sat Jan 14 16:34:25 2006 => File C:\Programme\Save\saveupdate.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Sat Jan 14 16:35:36 2006 => File C:\Programme\WeatherCast\Uninst.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.ay". Action Taken: No Action Taken.
Sat Jan 14 16:35:36 2006 => File C:\Programme\WeatherCast\Weather.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.ay". Action Taken: No Action Taken.

Das war's!
Ich hoffe es kann mir jemand helfen.
Falls alles nichts hilft, was wäre denn besser? Eine Formatierung der ganzen Festplatte oder reicht eine Zurücksetzung auf Auslieferungszustand des Computers aus?

Danke im Voraus,
Loewenmel

hoerni26 · 14.01.2006, 17:56

hallo,

also dieser Trojan-Downloader.Win32.Agent wird bei manchen auch als backdoor trojaner angegeben.
ich würde dir raten dein system nach anleitung in meiner signatur neuaufzusetzen.
damit bist du auf jeden fall auf der sicheren seite.

Loewenmel · 14.01.2006, 18:03

Wenn es nicht anders geht, dann müssen wir das wohl machen.

Mein Freund will den PC allerdings nur auf Auslieferungszustand zurücksetzen.
Reicht das denn? Worin liegt denn da der Unterschied?

hoerni26 · 14.01.2006, 18:06

das hilft wohl icht viel..
dann sind glaub ich nur die sachen und programme weg die er danach draufgeladen hat.
falls ich grad was falsches sage soll mich bitte einer berichtigen..
ich rate dazu das system so wie es in meinem link beschrieben ist neuaufzusetzen.

Probleme mit Trojaner! Log file zur Ansicht!

Log-Analyse und Auswertung: Probleme mit Trojaner! Log file zur Ansicht!