| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Proxy.Agent.ACWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.09.2004, 19:47
| #1 |
| |  TR/Proxy.Agent.AC Hi,ich bekomme von AntiVir die Meldung das Dateien mit dem Trojanischem Pferd "TR/Proxy.Agent.AC" infiziert sind.Ich kann diese Dateien zwar löschen,aber es werden jedesmal wieder neue Dateien infiziert. Weiß jemand Rat? |
|
09.09.2004, 19:54
| #2 |
| Gast | TR/Proxy.Agent.AC Scanne hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083
__________________Danach erstelle mal ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
|
10.09.2004, 10:58
| #3 |
| | TR/Proxy.Agent.AC Hallo Christian
__________________der Log: Logfile of HijackThis v1.98.2 Scan saved at 11:24:38, on 10.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\SCANNER\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.noblindlinks.com/sp.shtml R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.noblindlinks.com/sp.shtml R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated) O2 - BHO: (no name) - {7A748B2F-5231-351A-C6CD-F763B1DB92AD} - C:\WINDOWS\SYSTEM\poejdiya.dll O2 - BHO: (no name) - {79F33433-B81A-08FA-BCF7-94A7038F2EDD} - (no file) O2 - BHO: (no name) - {0F0DD98E-1BD9-0A23-C3A0-110D45A494DF} - C:\WINDOWS\SYSTEM\vlqvelwe.dll O2 - BHO: (no name) - {9F334F67-40F1-1E3C-F5D7-6F84B8E63F77} - C:\WINDOWS\SYSTEM\opgkfuhq.dll O2 - BHO: (no name) - {4AB1F366-B707-DA38-ED1B-CFCBD885B531} - C:\WINDOWS\SYSTEM\tnqavhmf.dll O2 - BHO: (no name) - {3BB75E9D-EE0B-7D44-8AC8-E881F787A7A7} - C:\WINDOWS\SYSTEM\fzszhabz.dll O2 - BHO: (no name) - {795DD92F-4BE0-6074-D041-C5BE52A0DABD} - C:\WINDOWS\SYSTEM\njahslsd.dll O2 - BHO: (no name) - {42609692-87E1-9526-463B-AD3B30547F15} - C:\WINDOWS\SYSTEM\trindzhl.dll O2 - BHO: (no name) - {19F76F21-F7C7-5682-BB41-23E274F50925} - C:\WINDOWS\SYSTEM\rfbjqocr.dll O2 - BHO: (no name) - {4C33E31B-DD45-8ED0-1990-7D2C454DA99A} - C:\WINDOWS\SYSTEM\zglwcmqp.dll O2 - BHO: (no name) - {7A261873-4EBD-6E26-85D9-A361D4BBB2C8} - C:\WINDOWS\SYSTEM\euvsmudb.dll O2 - BHO: (no name) - {0E821039-D8AF-2DFF-FDDA-C057448FC4B8} - C:\WINDOWS\SYSTEM\tixfpzaq.dll O2 - BHO: (no name) - {98D3D736-8DDF-FB4E-063C-012F6F5745ED} - C:\WINDOWS\SYSTEM\oifrcpem.dll O2 - BHO: (no name) - {01D8E631-0BDB-FD81-7244-7190CD4EBE7F} - C:\WINDOWS\SYSTEM\jtkrviji.dll O2 - BHO: (no name) - {2DF9EA41-7D33-A8B9-E20B-2BA10E2241DB} - C:\WINDOWS\SYSTEM\mpcdwdum.dll O2 - BHO: (no name) - {AECC1B89-7B54-5ED7-5F0D-98C55EBCC6AD} - C:\WINDOWS\SYSTEM\ggunfywt.dll O2 - BHO: (no name) - {85643194-4D80-FA7E-2FE4-54F61E0A24EF} - C:\WINDOWS\SYSTEM\jfakdnlr.dll O2 - BHO: (no name) - {B350D169-2439-9249-047A-1C048E5411CA} - C:\WINDOWS\SYSTEM\uenctrxz.dll O2 - BHO: (no name) - {B4DE7870-56B9-2461-3461-D855CD1CC972} - C:\WINDOWS\SYSTEM\rfgkxpzi.dll O2 - BHO: (no name) - {3A355F98-7CBE-0FF0-55CF-C9384E4E9960} - C:\WINDOWS\SYSTEM\acrkuudu.dll O2 - BHO: (no name) - {75413266-05D5-81F1-A59F-C1F1FBA734DD} - C:\WINDOWS\SYSTEM\xnjlegja.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr O16 - DPF: {DCF96DA0-ED33-40FF-B83E-AB7011C2BA7E} (Dialer Class) - http://66.230.145.17/dialers/1287.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe |
|
10.09.2004, 11:46
| #4 |
   | TR/Proxy.Agent.AC Ist das Log aus dem abgesicherten Modus? Bitte erstelle eins aus dem normalen. Gehst du über DSL ins Netz oder über Modem/ISDN? |
|
10.09.2004, 12:15
| #5 |
| | TR/Proxy.Agent.AC Hallo, der log war vom normalen Modus.Ich habe nur vorher alles mögliche aus dem Autostart entfernt,deswegen sowenige aktive Prozesse. Der PC ist ein Laptop eines Freundes.Er geht normalerweise über Modem online,aber wenn er bei mir ist geht er über DSL oder auch über ISDN online. |
|
10.09.2004, 12:27
| #6 |
| | TR/Proxy.Agent.AC ... ein Fall für SpHjfix.exe würde ich denken ... aber ...  ich denke in diesem Fall ja meistens falsch.@ MountainKing ... was sagst Du dazu? SD [edit] DAS war eine Frage  ...@ sky.d , versuch's mal damit. Wenn's nicht klappt, melde Dich wieder bei uns. Irgendeiner wird mich dann verhauen. Viel Erfolg! [edit2] .. poste dann bitte noch ein weiteres Logfile. Geändert von Shadowdance (10.09.2004 um 12:41 Uhr) |
|
10.09.2004, 13:08
| #7 |
| | TR/Proxy.Agent.AC Das Programm läuft bei mir nicht.Ich bekomme nur die anzeige "SP.html-Hijack fixer -> Nicht Infiziert !" .Ansonsten tut sich nicht's. |
|
10.09.2004, 13:15
| #8 |
| | TR/Proxy.Agent.AC du kannst alles fixen bis auf diese einträge: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\SCANNER\HIJACKTHIS.EXE O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min dann solltest du später eine microsoft-startseite haben, wenn alles geklärt ist kannst du dir wieder eine startseite nach wunsch einrichten. ________ versuch es mal mit einem programm gegen dialer, und nebenbei lass einen onlinescan mal drüber: vorher unbedingt bei geschlossenen browser die temp.internetfiles löschen incl.offlineinhalte, und den INHALT des ordners TEMP raus! den papierkorb dann noch leeren. dann den hier: http://de.bitdefender.com/scan/licence.html besten gruss rock |
|
10.09.2004, 14:01
| #9 |
| | TR/Proxy.Agent.AC Danke,hab die sachen jetzt mal gefixt,außer die google seite.Der Onlinescan läuft gerade. Sieht aber jetzt schon ganz gut aus.  |
|
| Themen zu TR/Proxy.Agent.AC |
| antivir, dateien, infiziert, jedesmal, löschen, meldung, neue, troja |
Linear-Darstellung
