Hallo zusammen.

ich bin neu hier und durch zufall im internet über euch gestolpert.

ich habe mich schon ein wenig eingelesen und den HijackThis Log-File gemacht!
das problem besteht darin das ich manchmal 2 bis 8 mal das Trojanische pferd "TR/Dldr.Agent.UJ171" auf meinem rechner habe.wen ich mein antiVir programm in der aktellen version laufen lasse findet er die TR und ich lösche sie.aber aus irgend welchen gründen kommen sie immer wieder.
währe echt nett von euch wen mir jemand sagen kann was ich nun tun soll.
so nun die Log-File von dem HijackThis und von dem Antivir:


Logfile of HijackThis v1.99.1
Scan saved at 11:41:44, on 27.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.*******.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: Verknüpfung mit iTouch.lnk = C:\Programme\Logitech\iTouch\iTouch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154349043406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158502556281
O17 - HKLM\System\CCS\Services\Tcpip\..\{384421F9-00CC-4F26-B482-5FB89AD454DC}: NameServer = 85.255.116.173,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFDC2499-DC87-43A5-ABAF-3431336F7BA9}: NameServer = 85.255.116.173,85.255.112.72
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


AntiVir:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 27. September 2006 10:47

Es wird nach 513368 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 00001******-****-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ****************
Computername: *********

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 14.09.2006 05:38:22
AVSCAN.DLL : 7.0.0.45 41000 14.09.2006 05:38:22
LUKE.DLL : 7.0.0.47 118824 14.09.2006 05:38:23
LUKERES.DLL : 7.0.0.47 9256 14.09.2006 05:38:23
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 05:54:58
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 05:38:24
ANTIVIR2.VDF : 6.36.0.71 284160 25.09.2006 11:48:15
ANTIVIR3.VDF : 6.36.0.73 7168 26.09.2006 11:48:15
AVEWIN32.DLL : 7.2.0.18 1839616 24.09.2006 10:29:43
AVPREF.DLL : 7.0.0.2 23080 14.09.2006 05:38:22
AVREP.DLL : 6.36.0.5 806952 14.09.2006 05:38:24
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 06:16:56
AVPACK32.DLL : 7.2.0.0 368680 14.09.2006 05:38:26
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 7.0.0.0 9768 14.09.2006 05:38:23
RCIMAGE.DLL : 7.0.0.74 1642536 14.09.2006 05:38:17
RCTEXT.DLL : 7.0.0.107 77864 14.09.2006 05:38:17

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,E,I,J,K,A,G,H
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Mittwoch, 27. September 2006 10:47


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 27 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 14 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{9B640D9F-C0EA-4FB9-B0A1-30488D9FF754}\RP108\A0074167.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.UJ.171
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9B640D9F-C0EA-4FB9-B0A1-30488D9FF754}\RP108\A0074196.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.UJ.171
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
I:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 27. September 2006 11:43
Benötigte Zeit: 56:02 min

Der Suchlauf wurde vollständig durchgeführt.

3666 Verzeichnisse wurden überprüft
175949 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1023 Archive wurden durchsucht
29 Warnungen
1 Hinweise

Vielen Dank im voraus !!!

Maths04

Hi,

Dein Trojaner ist ein s.g Downloader, d.h. er
ist dazu da Trojaner auf dein System zu laden.

Die Anzeichen kann man auch aus deinem Log-File
herauslesen, falls du diese Einträge nicht selber
angelegt hast:

Zitat:

O1 - Hosts: localhost 127.0.0.1
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{384421F9-00CC-4F26-B482-5FB89AD454DC}: NameServer = 85.255.116.173,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFDC2499-DC87-43A5-ABAF-3431336F7BA9}: NameServer = 85.255.116.173,85.255.112.72

Bin manchen Einträgen bin ich nicht sicher, aber
belese dich mal hier.
Demzufolge wäre es am günstigsten, gleich Neu Aufzusetzen und
die Passwörter eventuell (online-Banking, Ebay, E-Mail) zu ändern.
mfg Cleriker

hallo Cleriker,

ich habe keine diese Einträge selber
angelegt.
also was ich dazu sagen kann ist das ich bei versatel bin,aber ob der eintrag dazu gehört weiß ich nicht.
was muss ich den mit den einträgen die du gefunden hast machen??
kann mann sie einfach löschen und dann ist wieder alles gut??

schon mal danke für deine hilfe.

glück auf
maths04

Äähm...,

ich kann dir dazu keine Aussage mehr geben.
Wenn du dir meinen Link durchgelesen hast,
kannst du dir zusammen reimen, welche Risiken
nun bestehen. Dein (vielleicht) gelöschter Trojaner
kann selbst eine Bagdoorfunktion besitzen oder
durch seine Dowloadfähigkeit andere Bagdoortrojaner
runter geladen haben.
Deine von Antivirus nicht gefundenen Dateien deuten
ja ebenfalls auf nichts Gutes hin. Deine Warnungen
bezüglich "NTUSER" können auf externe Zugriffe
zurückgeführt werden.
Es ist echt am Besten du setzt dein System neu auf.
Anleitung gibt's in der Sig. Wenn du eine Datensicherung
machst, bitte vorher vom Netz gehen. Und folgend erst wieder
online fungieren, wenn du die nötigen Sicherheitseinstellungen
und Passwörter konfiguriert hast.

Edit: versatel währe dann wohl ok

mfg Cleriker

hallo nochmal,
ist das wirklich die einzigste lösung,
das ganze system neu aufspielen???
gerade war der trojaner sogar 12 mal auf meinem rechner!!
blödes mist ding kann ich nur sagen.
also wen das die lösung meines problems ist werde ich das wohl machen lassen.kann das leider nicht!
habe angst irgend etwas wichtiges zu vergessen zu speichern.

nun gut danke für deine hilfe und bis zum nächsten mal.
oder lieber doch nicht.
weil dann habe ich ja wieder irgend welche vieren!!!

mfg
maths04