Hallo Leute,

ich brauch dringend Hilfe. Und zwar hab ich vorgestern festgestellt, dass mit meinem PC was nicht stimmt (es wollte nicht runterfahren). Hab dann gefrustet einfach ausgeschalten und es bis gestern so belassen. Nun hab ich ne neue Version von AntiVir geladen und leider wurden folgende 4 Viren gefunden:

TR/Dldr.Agent.nv.4 auf: System32\mshlpa.exe
TR/Click.Agent.AC.8 auf: System32\vbsys2.dll
TR/Dldr.Agen.nv.4.B auf: C:\eied_s7.cab
TR/Dagonit.INF auf: C:\WINDOWS\Download Programm Files\start.INF

So und nun sollen 3 der 4 gelöscht sein allerdings gibt es keine Bestätigung im Report das auch der TR/Click.Agent.AC.8 gelöscht ist. Nach mehrmaligen Virenscan wurde er nicht mehr angezeigt, doch ein sehr ungutes Gefühl sagt mir, mein Rechner ist nicht sauber. Nun hab ich ganz schön schieß das ich total ausspioniert werden kann. Bankkonten ect.
Leider hab ich keine Ahnung mit Viren derart und tu mich sehr schwer meine Festplatte zu formatieren und alles neu zu installieren.

Bitte seid so lieb und helft mir, bin verzweifelt

P.S: Hab gestern abend von zu Hause aus versucht hier dieses Thema anzulegen, doch leider bin ich nach der anmeldung immer sofort wieder automatisch abgemeldet. Kam quasi gar nich rein. Nun schreib ich von Arbeit aus und hoffe, das es heut abend auch von zu Hause aus wieder funktioniert mich hier anzumelden..

lg sida

Erstell von dem betroffenen Rechner ein Hijackthis-Logfile und poste es.

Hallo, ging mal wieder gestern abend nicht zu posten, werd vom homepc immer wieder autpmatisches abgemeldet

Logfile of HijackThis v1.99.1
Scan saved at 20:50:35, on 13.11.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\HomerJ.HOMER\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Audible Download Manager.lnk = C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - e:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - e:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {43331111-1111-1111-1111-611111195622} -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


Danke dir, viellei kannst du was finden. Zur Info, ich hab erneut die Meldung des TR/Click.Agent.AC.8 bekommen nun allerdings in C:\System Volume Information\_restore{6FEB8E63-A696-401A-2D4141A69B6B}A00300311.dll. Daraufhin hab ich Systemwiederherstellung deaktiviert und bin in den abgesicherten Modus gewechselt und hab mir für den System Volume Information Ordner die nötigen Rechte erteilt und den Inhalt gelöscht. Danach hab ich AntiVir durchlaufen lassen und nix wurde gefunden..

Nun is mir Aufgefallen, das in der log-file dieses mir komisch vorkommt:
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

Da auf c:\eied_s7.cab der TR/Dldr.Agen.nv.4.B war. Ist das vielleicht eine verseuchte Mülldatei? Oder doch noch ein Virus? Kann die Datei aber nicht finden..

Vielen, vielen Dank für deine Hilfe.

lg. sida

P.S. Grüße nach Bremen, die Herbstmeisterschaft schaffen wir noch

Hallo liebe Helfer,

bitte vergesst mich nicht, is total wichtig. Ich weiß hier ist viel los aber es wär total lieb wenn mir jemand helfen kann. Ich muß jeden abend online sein und momentan is es mir zu riskant, da ich nich genau weiß ob mein PC sauber ist oder nicht.

Vielen vielen Dank für eure Hilfe

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Wenn Dir alles zu riskant ist, warum verweigerst Du dann sämtliche Patches?
Da kann ich wirklich nur noch den Rat geben, neu aufzusetzen. Und erst online gehen, wenn zumindest das SP2 eingespielt ist.

Hallo cosinus,

wenn sp2 draufzuspielen möglich gewesen wäre, hätte ich es auch drauf doch leider funktioniert dies nicht, danach funktioniert sogut wir gar nix mehr. Ich weiß nich woran es liegt, vermute aber viellei weil ich das xp pro nur als kopie vom kumpel draufgespielt hab. Allerdings konnte er sp2 draufspielen ohne propleme. Daher hab ich mich mit verschieden programmen wie zonealarm pro, antispy, antivir und allen sicherheitsvorkehrungen von aol abgefunden und mir wurde bestätigt das es zur sicherheit völlig ausreicht. Dem vertraute ich dann auch. Nur leider war ich so schlampig und hab ne weile nix aktualisiert, so scheint es dann passiert zu sein.

Da du mir den Rat gibst neu aufzusetzen scheint ja wohl doch einiges nicht ok zu sein. Habe ich keine Chance den ganzen Virenmist mit entsprechenden Programmen zu entsorgen oder käme es auf einen Versuch an???

Vielen Dank für deine Hilfe.