TR/Dldr.Agent.dag
TR/Dldr.dll.Ya.2
TR/Yatagan.Dll

hallo neues board.

antivir meldet die obengenannten viren ca alle 2 minuten dann wird der explorer
neugestartet. löschen/verschieben/quarantäne bringt alles nichts.

vorher war noch ein rotes kreuz in der taskleiste, und irgendwelche angeblichen
systemmeldungen, dass ein virus da sei. mitsamt browseröffnung zu ominösen
angeblichen sicherheitsseiten.

hijack log
---
Logfile of HijackThis v1.99.1
Scan saved at 12:31:04, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\RegCure\RegCure.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = htt://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*htt://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htt://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = htt://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*htt://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*htt://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = htp://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: msmhost - {8E70A80C-0BE7-4E1A-A4C6-202AED3ADBB2} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {F899E679-0B36-45EE-9188-B3EA55068134} - C:\WINDOWS\msmdev.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Hibernation - Unknown owner - C:\PROGRA~1\Compaq\COMPAQ~1\hibserv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--

hoffe, jemand kann mir weiterhelfen, lg, simone

Hallo und willkommen, neue Userin!

Lass bitte zunächst diese beiden Dateien (markiert durch Fettschrift) prüfen...

Code: Alles auswählenAufklappen

ATTFilter

O21 - SSODL: msmhost - {8E70A80C-0BE7-4E1A-A4C6-202AED3ADBB2} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {F899E679-0B36-45EE-9188-B3EA55068134} - C:\WINDOWS\msmdev.dll
         

Und zwar dort:
VirusTotal - Kostenloser online Viren- und Malwarescanner

Poste nach Scanende die komplette Ergebniseliste inkl. der Angaben zur Dateigröße sowie MD5 und SHA1.

hallo boarduser

ja dieses blöde msmhost hab ich mir auch schon gedacht, lässt sich nämlich
der task nich kicken...

warum kommen die trojaner denn eigtl zu mehreren? sind das keine einzelgänger ?

msmhost.dll:
--
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.20.1 2007.09.20 -
AntiVir 7.6.0.15 2007.09.20 -
Authentium 4.93.8 2007.09.20 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.20 Adware Generic2.PZX
BitDefender 7.2 2007.09.20 -
CAT-QuickHeal 9.00 2007.09.20 AdWare.Agent.iw (Not a Virus)
ClamAV 0.91.2 2007.09.20 -
DrWeb 4.33 2007.09.20 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5150 2007.09.20 Win32/Pripecs.AB
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.20 -
Fortinet 3.11.0.0 2007.09.20 Adware/Agent
F-Prot 4.3.2.48 2007.09.19 -
F-Secure 6.70.13030.0 2007.09.20 -
Ikarus T3.1.1.12 2007.09.20 not-a-virus:AdWare.Win32.Agent.iw
Kaspersky 4.0.2.24 2007.09.20 not-a-virus:AdWare.Win32.Agent.iw
McAfee 5123 2007.09.19 -
Microsoft 1.2803 2007.09.20 Program:Win32/UltimateDefender
NOD32v2 2541 2007.09.20 Win32/Adware.Agent.NFR
Norman 5.80.02 2007.09.20 W32/Agent.CHZW
Panda 9.0.0.4 2007.09.20 Suspicious file
Prevx1 V2 2007.09.20 Generic.Dropper.xCodec
Rising 19.41.32.00 2007.09.20 -
Sophos 4.21.0 2007.09.20 -
Sunbelt 2.2.907.0 2007.09.20 Trojan-Downloader.Zlob.Media-Codec
Symantec 10 2007.09.20 -
TheHacker 6.2.5.063 2007.09.20 Adware/Agent.iw
VBA32 3.12.2.4 2007.09.20 Application.Win32.Adware.Agent.NFR
VirusBuster 4.3.26:9 2007.09.20 -
Webwasher-Gateway 6.0.1 2007.09.20 -
weitere Informationen

File size: 184320 bytes
MD5: 43ed6821c896aba251f4670d73c94bac
SHA1: 582ac578d737e2431aa8679efd304fc410446853
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=B5948BAA005338B5D04002D2FB260B00A1C42AD7
Sunbelt info: Trojan-Downloader.Zlob.Media-Codec is a program that typically purports to be a needed upgrade to Windows Media Player in order to view adult oriented videos on certain websites. However, Trojan-Downloader.Zlob.Media-Codec actually downloads and installs additional malware on the user's machine.
(ich hab doch nieee im leben prOn geschaut ; )
--

msmdev:
--
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.20.1 2007.09.20 -
AntiVir 7.6.0.15 2007.09.20 -
Authentium 4.93.8 2007.09.20 -
Avast 4.7.1043.0 2007.09.20 -
AVG 7.5.0.485 2007.09.20 Adware Generic2.PZW
BitDefender 7.2 2007.09.20 -
CAT-QuickHeal 9.00 2007.09.20 AdWare.Agent.iv (Not a Virus)
ClamAV 0.91.2 2007.09.20 -
DrWeb 4.33 2007.09.20 -
eSafe 7.0.15.0 2007.09.19 -
eTrust-Vet 31.2.5150 2007.09.20 Win32/Pripecs.AB
Ewido 4.0 2007.09.20 -
FileAdvisor 1 2007.09.20 -
Fortinet 3.11.0.0 2007.09.20 Adware/Agent
F-Prot 4.3.2.48 2007.09.19 -
F-Secure 6.70.13030.0 2007.09.20 -
Ikarus T3.1.1.12 2007.09.20 not-a-virus:AdWare.Win32.Agent.iv
Kaspersky 4.0.2.24 2007.09.20 not-a-virus:AdWare.Win32.Agent.iv
McAfee 5123 2007.09.19 -
Microsoft 1.2803 2007.09.20 Program:Win32/UltimateDefender
NOD32v2 2541 2007.09.20 Win32/Adware.Agent.NFR
Norman 5.80.02 2007.09.20 W32/Agent.CHZV
Panda 9.0.0.4 2007.09.20 -
Prevx1 V2 2007.09.20 -
Rising 19.41.32.00 2007.09.20 -
Sophos 4.21.0 2007.09.20 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.20 -
TheHacker 6.2.5.063 2007.09.20 Adware/Agent.iv
VBA32 3.12.2.4 2007.09.20 Application.Win32.Adware.Agent.NFR
VirusBuster 4.3.26:9 2007.09.20 -
Webwasher-Gateway 6.0.1 2007.09.20 -

weitere Informationen
File size: 225280 bytes
MD5: 9f3fd5184a6655d7883bb5c04493ba36
SHA1: a74ed8fe1debe3f16d80668ba9437510515a0c21

---

Hi psychobitch

Zitat:

warum kommen die trojaner denn eigtl zu mehreren? sind das keine einzelgänger ?

Weil es zu zweit oder zu dritt einfach mehr Spaß macht. Wußtest Du das nicht?

Nein, nein, Scherz beiseite, einer genügt, und dann ist Hängen im Schacht, will meinen, dann ist format : C angesagt.

Wie ist es zur Infizierung gekommen? Irgendwelche Links angeklickt, aus nicht vertrauenswürdiger Quelle? (Messenger Programm?) Oder ein Video-Codec installiert, ohne vorherige Prüfung? Kannst Du Dich diesbezüglich an etwas erinnern, bevor Du die Meldung bekamst? Das ist insofern wichtig, damit das bzw. eine ähnliche Infektion für die Zukunft verhindert werden kann.

Aber ich denke mal, daß sich mmk hierzu noch dezidiert äußern wird.

Gruß

Zitat:

Zitat von Pelzmaus

Nein, nein, Scherz beiseite, einer genügt, und dann ist Hängen im Schacht, will meinen, dann ist format : C angesagt.

*reusper*

Neuinstallation? Aber nicht wegen dieser beiden Dateien/Trojaner?
Oder habe ich deinen Satz fehlinterpretiert?

Sunny

danke erstmal mmk und co

und wie werde ich die bösen datein jetzt los?

@ frau-internet-format c:
das ist der rechner meiner mutter. ich hatte selbstverständlich noch ne einen virus

Hallo

versuch mal das hier
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



MFG

Zitat:

Zitat von [Gc]Sunny

Neuinstallation? Aber nicht wegen dieser beiden Dateien/Trojaner?

Aktive Trojanischer Pferde auf dem System versetzen dieses nicht gerade in einen vertrauenswürdigeren Zustand. Zumal - Trojan-Downloader laden ihrer Charakteristik entsprechend weitere Schädlinge nach; welche dies im Detail sind und wo sie sich, vor Prüfprogrammen, die auf dem kompromittierten System selbst ausgeführt werden, ggf. verstecken, wird man nie sicher nachvollziehen können.

Zumal (Hervorhebung in Fettschrift durch mich): Die nachgeladenen Schädlinge können stets neue sein - nach einer Stunde kann es bereits ein anderer sein als zuvor. Aktuelles allgemeines Beispiel:

heise online - Trojaner-Welle vom Online-Casino

Zitat (Hervorhebung in Fettschrift durch mich):

Zitat:

Diese Datei wird derzeit nur von wenigen Virenscannern erkannt und höchstwahrscheinlich, wie inzwischen üblich, in kurzen Abständen auf dem Server ausgetauscht, um der Entdeckung mit aktualisierten Signaturen der Virenscanner zu entgehen.

Insofern sehe ich Trojan-Downloader nicht als weniger gefährliche Schädlinge an - im Gegenteil: Sie wirken auf den ersten Blick vielleicht harmloser, was sie auf dem zweiten um so gefährlicher macht.

Und da diese Schädlinge in Verbindung mit dem Trojan-Downloader Zlob stehen, ist die Sache klar. Insofern bleibt - für diesen und für andere Fälle - zur sicheren Bereinigung stets nur eine Empfehlung: Das System muss neu aufgesetzt werden (alternativ: Man könnte ein sauberes Image einspielen).

Unabhängig davon kann und sollte man zunächst die sichtbaren / auffindbaren Schädlingskomponenten entfernen (helfen) - dies erleichtert dem User, der nur diesen einen PC zur Verfügung hat und sich über das Internet informiert, erheblich die Arbeit.

danke mmk und nochdicker.

nach dem tool scheint alles ok zu sein

tolles board, flotte hilfe, super :aplaus:

schade, dass ich schon ein stammforum habe, aber ich schau bestimmt mal wieder bei euch rein.

lg, simone

hallo leute, ich hab/?hatte? das selbe problem...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]