Hallo, ich habe folgenden Fund auf den Rechner meiner Freundin. TR/Dldr.Agent.drw

hier ist der Report von Antivir :

Code: Alles auswählenAufklappen

ATTFilter

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 23. Oktober 2007  09:06

Es wird nach 900278 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows 2000
Windowsversion:   (Service Pack 4)  [5.0.2195]
Benutzername:     SYSTEM
Computername:     ANI-Q0M61189E6W

Versionsinformationen:
BUILD.DAT    : 270           15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  05.09.2007 20:25:38
AVSCAN.DLL   : 7.0.6.0       57384 Bytes  05.09.2007 20:25:38
LUKE.DLL     : 7.0.5.3      147496 Bytes  05.09.2007 20:25:39
LUKERES.DLL  : 7.0.6.0       10792 Bytes  05.09.2007 20:25:39
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 20:10:55
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13.09.2007 20:48:14
ANTIVIR2.VDF : 7.0.0.91     687104 Bytes  16.10.2007 07:05:09
ANTIVIR3.VDF : 7.0.0.120    227840 Bytes  23.10.2007 07:05:09
AVEWIN32.DLL : 7.6.0.27    3019264 Bytes  23.10.2007 07:05:10
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  19.04.2007 13:41:17
AVPREF.DLL   : 7.0.2.2       25640 Bytes  05.09.2007 20:25:38
AVREP.DLL    : 7.0.0.1      155688 Bytes  19.04.2007 13:41:18
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03.08.2007 13:30:17
AVREG.DLL    : 7.0.1.6       30760 Bytes  05.09.2007 20:25:38
AVARKT.DLL   : 1.0.0.20     278568 Bytes  05.09.2007 20:25:37
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  05.09.2007 20:25:37
NETNT.DLL    : 7.0.0.0        7720 Bytes  19.04.2007 13:41:17
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  05.09.2007 20:25:24
RCTEXT.DLL   : 7.0.62.0      90152 Bytes  05.09.2007 20:25:24
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  05.09.2007 20:25:39

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 23. Oktober 2007  09:06

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msspa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'versatel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aoltray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdesk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'linksts.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wanmpsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'perfs.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> 'C:\WINNT\system32\perfs.exe'
Durchsuche Prozess 'mgabg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Prozess 'perfs.exe' wird beendet
C:\WINNT\system32\perfs.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.drw
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478f9df3.qua' verschoben!

Es wurden '31' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '16' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\perfs.exe.bk
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.drw
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '478f9f6f.qua' verschoben!


Ende des Suchlaufs: Dienstag, 23. Oktober 2007  09:14
Benötigte Zeit: 08:29 min

Der Suchlauf wurde vollständig durchgeführt.

   4328 Verzeichnisse wurden überprüft
  75669 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
  75666 Dateien ohne Befall
    820 Archive wurden durchsucht
      4 Warnungen
      0 Hinweise
         

Und hier ist das HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:20:03, on 23.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\sistray.EXE
C:\WINNT\system32\Linksts.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINNT\system32\keyhook.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\Ani\LOKALE~1\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe -startup -product IncrediMail
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135788746546
O17 - HKLM\System\CCS\Services\Tcpip\..\{B995F4A3-D23B-46B7-BC3B-42131C909A5B}: NameServer = 89.246.64.8 62.220.18.8
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINNT\system32\perfs.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

--
End of file - 4737 bytes
         

Bis jetzt sind keine grossartigen Probleme aufgetreten ausser das einige gespeicherten Mails verloren gegangen sind. Obs nun daran lag weiss ich nicht.

Betriebsystem Windows 2000 Prof.


Ich bitte um Hilfe !!!

Hi,

mit HJ fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat:

O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINNT\system32\perfs.exe (file missing)

Escan: http://www.trojaner-board.de/42731-escan-anleitung.html
Poste das Log ohne Cookies!

Chris