TR/Zlob.IT.3 und TR/Agent.QT.5 HILFE!!!

schmiddiHL · 30.04.2006, 23:09

Hallo ihr lieben... ich hoffe ihr könnt mir helfen...
bin schon locker 10 Stunden dabei zu versuchen diese beiden viren loszuwerden... zwecklos...

hab schon alles gemacht mit hijackthis... in der registry... antispy und selbst im abgesicherten modus...

im system32 ist der TR/Zlob.IT.3 unter dem Dateinamen hpA5D5.tmp

der dateiname ändert sich jedes mal und kommt neu nachdem ich ihn im abgesicherten modus gelöscht und mit hj gefixt habe...

jedes mal wenn ich auf den internetexplorer oder windowsordner klicke
warnt mich mein antivir guard vor dem virus... kann ihn aber nicht löschen oder in quaratäne verschieben...

mit dem anderen virus kann ich nichts anfangen, ist ein pfad zu system32 und datei winmyy32.dll ... auch die kann ich nicht löschen

bitte helft mir hab schon alles versucht

MightyMarc · 30.04.2006, 23:25

Hi schmiddiHL,

bitte erstelle gemäß Anleitung in meiner Signatur ein HJT-Log und poste dieses hier.

Edit:

Lasse zusätzlich die von Dir genannten Dateien

Code:

ATTFilter

hpA5D5.tmp
winmyy32.dll

bei jotti, virustotal und/oder Kaspersky scannen (siehe Signatur). Die Scanberichte bitte hier posten.

schmiddiHL · 30.04.2006, 23:28

Logfile of HijackThis v1.99.1
Scan saved at 00:27:56, on 01.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_11\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\christian\Desktop\HijackThis.exe

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpA5D5.tmp
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_11\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - https://premiummail.lycos.de/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EF81D91-E457-4D06-8700-28816AF6768D}: NameServer = 212.7.148.97 212.7.148.65
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

MightyMarc · 30.04.2006, 23:45

Das Scanergebnis für diese Datei bitte noch (siehe "Datei prüfen" in meiner Signatur)

Code:

ATTFilter

winmyy32.dll

Der Befund ist wichtig.

schmiddiHL · 30.04.2006, 23:51

du die kann ich nicht mehr finden auf einmal... komisch wieso das?!

MightyMarc · 30.04.2006, 23:53

Schaue bei AntiVir -> Berichte nach, wo die Datei gefunden wurde. Scanne dieses Verzeichnis nochmals.

Edit:
nabend Schrulli (der Du grad mitliest)

schmiddiHL · 01.05.2006, 00:10

hoffe das is richtig so

AntiVir 6.34.0.24 04.20.2006 TR/Agent.QT.5
Avast 4.6.695.0 04.28.2006 Win32:Trojano-BJ
AVG 386 04.28.2006 Generic.STY
Avira 6.34.1.58 05.01.2006 TR/Agent.QT.5
BitDefender 7.2 05.01.2006 Backdoor.Vuro.A
CAT-QuickHeal 8.00 04.29.2006 no virus found
ClamAV devel-20060202 04.30.2006 no virus found
DrWeb 4.33 04.30.2006 BackDoor.Vuro
eTrust-InoculateIT 23.71.143 04.30.2006 Win32/SillyDL.12221!DLL!Trojan
eTrust-Vet 12.4.2184 04.28.2006 Win32/Spudim.A
Ewido 3.5 04.30.2006 Trojan.Agent.qt
Fortinet 2.71.0.0 04.30.2006 W32/Agent.QT!tr
F-Prot 3.16c 04.30.2006 no virus found
Ikarus 0.2.59.0 04.29.2006 Backdoor.Win32.Hupigon.BV
Kaspersky 4.0.2.24 05.01.2006 Trojan.Win32.Agent.qt
McAfee 4751 04.28.2006 no virus found
Microsoft 1.1372 04.30.2006 no virus found
NOD32v2 1.1514 04.30.2006 Win32/TrojanDownloader.Small.CML
Norman 5.90.17 04.28.2006 W32/Agent.ZVY
Panda 9.0.0.4 04.30.2006 Adware/PurityScan
Sophos 4.05.0 04.30.2006 no virus found
Symantec 8.0 05.01.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 Trojan/Agent.qt
UNA 1.83 04.28.2006 Trojan.Win32.Agent
VBA32 3.11.0 04.30.2006 BackDoor.Vuro

MightyMarc · 01.05.2006, 00:25

Scheinbar handelt es sich dabei um einen Trojaner mit Backdoorfunktionalität. Leider kann ich da keinen anderen Rat geben, als das System neu aufzusetzen.
Du solltest nach einer Neuinstallation unbedingt das Service Pack 2 aufspielen.
Eine Anleitung zum Neuaufsetzen und Einrichten findest Du in meiner Signatur (Try again).

schmiddiHL · 01.05.2006, 00:34

oh ne... hab das grad vor 2 wochen erst gemacht...

war mit allem drum und dran fast 2 tage bei....

warum gibt es nur diese sch**ss würmer und so...
derjenige der das erfunden hat .... ich sags lieber nicht

aber trotzdem danke ersma

TR/Zlob.IT.3 und TR/Agent.QT.5 HILFE!!!

Plagegeister aller Art und deren Bekämpfung: TR/Zlob.IT.3 und TR/Agent.QT.5 HILFE!!!