Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun???

Guppy · 16.10.2006, 14:24

Hallo
ich bin ziemlich am verzweifeln und auch schon ganz schön genevt langsam.
Ich habe mir irgendwo ein Trojaner eingefangen. Mein Virenprogramm (AVK 15.0.5) bzw. der AVK Wächter hat die Meldung gebracht das er eine Infektion verhindert hat, weitere Informationen erhalte ich im AVK Protokoll. Dort steht folgendes:

Beim Schließen der Datei "C:\Dokumente und Einstellungen\M***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9UKQJDX4\popup[1].htm" wurde der Virus "Trojan-Clicker.HTML.Agent.a" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja.

So da ich mir gedacht habe da es ein popup ist und eh nur in den Temporary Internet Files liegt kann ich es aus der Quarantäe löschen, was ich auch tat.
Damit ist das Problem aber nicht behoben, wär ja auch zu einfach gewesen.

Die Warnung kommt aller paar Minuten wieder und ich lösche ihn immer wieder was also in einen Endloskreis endet. Ich habe aber bemerkt das dies nur geschieht wenn ich eine Internetverbindung aufbaue. Außerdem kommt auch aller paar Minutnen das Geräusch von Windows das ein PopUp geblockt wurde, dieses Signal kann ich schon langsam nicht mehr hören und wie schon gesagt passiert es dann das mein Wächter die oben genannte Warnung bringt.
Ich habe auch schon mehrmals die Temporären Internet Files löschen lassen aber er kommt immer wieder.

Meine Frage: Was kann ich tun damit dieses Popup nicht immer wiederkommt??? Ich habe meinen Virenscanner schon laufen lassen, der findet nichts (mach täglich neue Updates).

Mein System: Windows XP Professional
Virenschutz: AntiVirenKit 2005 mit Updates

[falls noch mehr Informationen nötig sind, die ich jetzt vergessen hab damit mir jemand helfen kann, dann bitte sagen, dann editier ich sie noch rein]

mfg Guppy

EDIT:
Ich benutze Firefox
hier der HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 16:12:46, on 16.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\M***\LOKALE~1\Temp\Rar$EX02.844\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [hpppta] C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [atuf2074] RUNDLL32.EXE w002ef28.dll,n 004f20700000000a002ef28
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Spiele\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Spiele\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Spiele\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\m6nqlg5516.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Dokumente und Einstellungen\S***\Eigene Dateien\BTNtService.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

cosinus · 16.10.2006, 14:37

Poste mal ein Hijackthis-Logfile. Surfst Du mit einem sichereren Alternativbrowser (Opera, Firefox) oder immer noch mit dem IE?

Guppy · 17.10.2006, 11:45

ich hatte meinen Beitrag extra editiert so wies drinne stand aber dann scheints keiner mehr zu lesen, deswegen mach ich einen neuen post

also hat noch jemand eine idee???

Was noch zu erwähnen wäre das ich auch 1- 2 mal am Tag folgende Meldung bekomme:

Ich schließ dieses Fenster da ich mal denke das es kein echtes Fenster ist, sondern nur ein gefaktes was zu den Popups gehört, also kann mir bitte jemand helfen???

cosinus · 17.10.2006, 11:56

Zitat:

O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [atuf2074] RUNDLL32.EXE w002ef28.dll,n 004f20700000000a002ef28
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\m6nqlg5516.dll (file missing)

Diese Einträge kommen mir nicht ganz koscher vor. Werte daher mal die Dateien

winlog.exe
w002ef28.dll
C:\WINDOWS\v1201.exe
C:\WINDOWS\system32\m6nqlg5516.dll

bei Jotti oder Virustotal aus. Bei den ersten beiden Dateien ist der Pfad nicht gegeben, diese musst du also per Dateisuche unter Windows ausfindig machen. Stell sicher, dass alle Dateien angezeigt werden (auch die versteckten und die geschützten Systemdateien).
Poste die Ergebnisse.

Guppy · 17.10.2006, 14:31

zu w002ef28.dll:
Zwei Sucheinträge:

- Name: w002ef28.dll Im Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot-Search & Destroy\Recovery\DownloaderTsupdateL.zip
- Name: w002ef28.dll_tobedeleted Im Ordner: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot-Search & Destroy\Recovery\DownloaderTsupdateL6.zip

Ich hab die erste Datei prüfen lassen bei Jotti:

Code:

ATTFilter

Datei:  	 DownloaderTsupdateL.zip
Auslastung: 	
0% 	  	  	100%
Status: 	
OK
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
ArcaVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VirusBuster 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden

zu v1201.exe:
konnte ich nicht finden im Ordner Windows

zu m6nqlg5516.dll
diesmal konnte ich den Ordner "System32" im Ordner "Windows" nicht finden, ich versteh das nicht es gibt nur einen "System" Ordner. Ich hab aber "alle Datein anzeigen" aktiviert.

zu winlog.exe
hat die Suche auch nicht gefunden

Das ist doch nicht normal das es kein System32 Ordner gibt genauso wie keine winlog.exe, entweder ist mein System total im Ar*** oder ich hab was falsch gemacht, was ich jetzt mal nicht glaube da ich scon ein bisschen mit Computern umgehen kann.
Hilft da vllt ein Neustart?

cosinus · 17.10.2006, 18:46

Dann mach mal im abgesicherten Modus von Windows einen Check mit eScan (siehe meine Signatur).

16.10.2006, 14:37	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun??? Poste mal ein Hijackthis-Logfile. Surfst Du mit einem sichereren Alternativbrowser (Opera, Firefox) oder immer noch mit dem IE? __________________ __________________

17.10.2006, 18:46	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun??? Dann mach mal im abgesicherten Modus von Windows einen Check mit eScan (siehe meine Signatur). __________________ --> Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun???

Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun???

Plagegeister aller Art und deren Bekämpfung: Virus "Trojan-Clicker.HTML.Agent.a" - Was kann ich tun???