Hallo.

Ich bräuchte dringend hilfe bei dem schönen Trojaner "TR/Proxy.Agent.BY.11", wie Anti Vir ihn nennt.
Ich habe ihn seit heute morgen drauf und vesuche ihn den ganzen Tag schon wieder loszuwerden. Er wird aber imme wieder von Anti vir gefunden.
Zudem ist die CPU Auslastung dauernd bei 100% und fällt dann ganz schnell mal ab und steigt dann wieder.
Ich brauche wirklich dringend hilfe, sonst werde ich noch verrückt.

Mein Betriebssystem ist Windows XP.
Werden sonst noch Informationen benötigt, beschaffe ich sie gerne.

Vielen Dank im Vorraus!

1. Poste ein HJT-Log. Eine Anleitung hierfür findest Du in unserer FAQ-Sektion.

2. Öffne das Hauptfenster von AntiVir. Klicke rechts auf den Reiter "Ereignisse". Suche dort nach Fund-Meldungen. Per Doppelklick auf die Meldung kannst Du das Berichtsfenster öffnen. Poste den Inhalt dieses Fensters.

3. Mache einen Scan mit eScan. Eine Anleitung hierfür findest Du hier:
http://www.trojaner-board.de/35365-e...tml#post253248
Poste das Ergebnis der find.bat (siehe Anleitung).

Gruß

Marc

Hoffe, dass es so richtig ist.


HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:26:03, on 10.02.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.3.102.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E714C0CB-6B62-4031-93E3-B9D3B2C997BE}: NameServer = 81.173.194.68 213.168.112.60
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Antivir Fund:

In der Datei 'C:\WINDOWS\system32\qclex.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Agent.BY.11' [TR/Proxy.Agent.BY.11] gefunden.


In der Datei 'C:\WINDOWS\system32\rfej.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Agent.BY.11' [TR/Proxy.Agent.BY.11] gefunden.


In der Datei 'C:\WINDOWS\system32\phbo.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Agent.BY.11' [TR/Proxy.Agent.BY.11] gefunden.


In der Datei 'C:\WINDOWS\system32\nycrzcza.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Proxy.Agent.BY.11' [TR/Proxy.Agent.BY.11] gefunden.



Find.bat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sat Feb 10 22:37:31 2007 => *** Registrierungs Wert SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Microsoft Internet Explorer gelöscht da durch Virus infiziert!
Sat Feb 10 22:30:17 2007 => Virus-Datenbank Datum: 2/9/2007
Sat Feb 10 22:36:19 2007 => Virus-Datenbank Datum: 2/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 10 22:38:07 2007 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Einträge entfernt.
Sat Feb 10 22:38:11 2007 => System found infected with h@tkeysh@@k Spyware/Adware (h@tkeysh@@k.dll)! Action taken: Einträge entfernt.
Sat Feb 10 22:38:19 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Einträge entfernt.
Sat Feb 10 22:38:40 2007 => System found infected with coolwebsearch Spyware/Adware (titles.ini)! Action taken: Einträge entfernt.
Sat Feb 10 22:42:34 2007 => System found infected with savenow Adware (C:\WINDOWS\System32\unrar.dll)! Action taken: Einträge entfernt.
Sat Feb 10 22:42:35 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Feb 10 22:38:11 2007 => Offending file found: C:\WINDOWS\System32\h@tkeysh@@k.dll
Sat Feb 10 22:38:19 2007 => Offending file found: C:\DOKUME~1\Tanja\FAVORI~1\VERSCH~1\ebay.url
Sat Feb 10 22:38:40 2007 => Offending file found: C:\DOKUME~1\Tanja\EIGENE~1\EIGENE~4\cheats\movies\titles.ini
Sat Feb 10 22:42:34 2007 => Offending file found: C:\WINDOWS\System32\unrar.dll
Sat Feb 10 22:42:35 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 10 22:37:10 2007 => Specherüberprüfung: Aktiviert
Sat Feb 10 22:37:10 2007 => Registry Überprüfung: Aktiviert
Sat Feb 10 22:37:10 2007 => System-Ordner Überprüfung: Aktiviert
Sat Feb 10 22:37:10 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Feb 10 22:37:10 2007 => Überprüfung der Dienste: Aktiviert

Der Leerlaufprozeß hat 99 % CPU Auslastung.... ist ja vielleicht wichtig. Die anderen Prozeße sind normal.

Zitat:

Zitat von Philomosa

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist extrem veraltet. Zudem hast Du einen Haufen Adware auf dem Rechner, einen Trojaner zu dem ich keine Beschreibung finden konnte und noch einen Autostarteintrag der mehr als ungesund aussieht.
Fazit: Du solltest dein System gemäß dieser Anleitung http://www.trojaner-board.de/12154-a...sicherung.html neu aufsetzen und absichern. Ich stehe für weitere Maßnahmen an einem so verhunzten System nicht zur Verfügung.


Gruß

Marc