Hallo,

KAV 4.5 meldet mir folgenden Alert: C:\WINDOWS\SYSTEM\sh.dll - infiziert durch TrojanClicker.Win32.Agent.h
Betriebssystem: Win 98 se

Folgende Seite habe ich gefunden: http://www.sophos.de/virusinfo/analy...autotrojc.html , jedoch geht es hier um TrojanClicker.Win32.Agent und nicht um TrojanClicker.Win32.Agent.h
Die dort beschriebenen Schlüssel konnte ich in der Reg. auch nicht finden.

Was kann/soll ich machen? Einfach die Datei löschen ? Damit ist es wohl nicht getan.

Danke schonmal für alle Tipps !

LG,
Julia

Vielleicht bringt dich dies ja weiter:
http://www.sophos.com/virusinfo/anal...rojagenth.html
http://www.pestpatrol.com/pestinfo/t...in32_agent.asp

Schau's dir einfach mal an ...

Hallo !

Danke für die Antwort !
Leider helfen mir die Links nicht. Die dort beschriebenen Symptome / Dateien treffen bei mir nicht zu.

Bitte poste mal ein Hijackthis-Log. Dann kann man schon eher sehen, was alles zu löschen ist.

Vielleicht schaust Du Dir in dem Zusammenhang auch mal http://www.trojaner-board.com/showthread.php?t=6144 an.

Gruß
Yopie

Hallo,

hier mein Log :

Logfile of HijackThis v1.98.0
Scan saved at 08:34:16, on 13.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS HOME EDITION\AVPCC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS HOME EDITION\AVPM.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS HOME EDITION\AVPCC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: URL Search Hook - {AA460422-2CEF-400f-AA05-F63368E04706} - C:\WINDOWS\SYSTEM\sh.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEINT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AVPCC Service] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /service
O8 - Extra context menu item: Download with Star Downloader - C:\PROGRAMME\STAR DOWNLOADER\sdie.htm
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.123.252,192.168.123.253


hijackthis.de nennt "R3 - URLSearchHook: URL Search Hook - {AA460422-2CEF-400f-AA05-F63368E04706} - C:\WINDOWS\SYSTEM\sh." eventuell böse. Meine Frage dazu: Reicht es, wenn ich die Stelle mit HijackThis fixe? Oder muss mehr gemacht werden ?

Danke für die Hilfe !!

LG,
Julia

Richtig,laut HijackThis Auswertung ist nur der 'böse'

Zitat:

R3 - URLSearchHook: URL Search Hook - {AA460422-2CEF-400f-AA05-F63368E04706} - C:\WINDOWS\SYSTEM\sh.
** Eventuell Böse ** Sollte gefixt werden, wenn kein bekanntes (oder gar kein) Programm erwähnt wird. Sollte gefixt werden, wenn kein (bekanntes) Programm in der Fehlermeldung steht.

Siehe auch hier

Empfehle dir im abgesicherten Modus zu fixen ,ebenso diesen e Scan - Häkchen wie abgebildet setzen.

Dann neu starten und nochmal ein Log posten

Vielen Dank, Nangie und allen anderen für die tolle Hilfe !! :-)

Ich habe jetzt alles so gemacht wie beschrieben, mein aktuelles Logfile :

Logfile of HijackThis v1.98.0
Scan saved at 16:22:53, on 13.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS HOME EDITION\AVPCC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS HOME EDITION\AVPCC.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS HOME EDITION\AVPM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...07&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir....10&ar=runonce
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEINT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AVPCC Service] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Home Edition\avpcc.exe" /service
O8 - Extra context menu item: Download with Star Downloader - C:\PROGRAMME\STAR DOWNLOADER\sdie.htm
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.123.252,192.168.123.253

Im Augenblick scheint alles in Ordnung zu sein. Aber kann ich jetzt "beruhigt" sein oder muß ich damit rechnen, daß da noch immer was eingenistet ist, vielleicht in der Regsitry ?
Ich frage mich auch wie sich der Rechner überhaupt infizieren konnte !? Es wird nichts blind angeklickt und der Internetexplorer wird fast nie benutzt.

Nochmal danke
und Grüsse
Julia