hab heute meldung bekommen das ich den agent.ay trojan habe... gut und schön aber ihc kamma net vorstellen das sich der einfach so deleten lassen hat!!! ausserdem bin ihc verwundert das die firewall und der antivir nichts geblockt hat...

nebenbei die meldung kam im offline modus

hier der hijack

wenn wem auffällt das da sonst noch was net in ordnung is wäre es goil wenn ihr mir solution posten könntet!
danke euch

Logfile of HijackThis v1.98.2
Scan saved at 18:57:48, on 18.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
E:\AntiVir\AVGUARD.EXE
E:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
E:\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\nvsvc32.exe
E:\Burnsoftware\CloneCD\CloneCDTray.exe
E:\Multimedia\Winamp\winampa.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
E:\AntiVir\AVSched32.EXE
E:\Image Drives\Daemon\daemon.exe
E:\System\MemInfo\MemInfo.exe
E:\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
E:\Kommunikation\Skype\Skype.exe
E:\Mobile\A925\Desktop Suite\ConnMngmntBox.exe
E:\Mobile\A925\Desktop Suite\ECTaskScheduler.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Mobile\A925\DESKTO~1\Elogerr.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
E:\Mobile\A925\DESKTO~1\BROADC~1.EXE
E:\Mobile\A925\DESKTO~1\SCRFS.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Kommunikation\Trillian\trillian.exe
E:\Kommunikation\Gamers.IRC\mirc.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
E:\Browser\Opera\Opera.exe
E:\Mobile\A925\DESKTO~1\CAPMAN.exe
E:\Mobile\A925\DESKTO~1\Ecfmserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Komprimierung\WinRAR 3\WinRAR.exe
C:\DOKUME~1\Michel\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1.3\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [AVGCtrl] "E:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Burnsoftware\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Burnsoftware\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Multimedia\Winamp\winampa.exe
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] E:\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Image Drives\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MemInfo] E:\System\MemInfo\MemInfo.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Sicherheit\Spybot - Search & Destroy1.3\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SIDEBAR] "C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe"
O4 - HKCU\..\Run: [Skype] "E:\Kommunikation\Skype\Skype.exe" /nosplash /minimized
O4 - Global Startup: A925 Connection Manager.lnk = ?
O4 - Global Startup: A925 Task Scheduler.lnk = ?
O4 - Global Startup: Brockhaus-Direktsuche.lnk = E:\Lexica\Brockhaus 2003\PGBMM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = E:\Sicherheit\PC-Alert\PCAlert4.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Messenger\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Messenger\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{326CE3B0-74B3-4A38-8BEE-934F781B5913}: NameServer = 195.3.96.68 195.3.96.67

@anteros.

unbedingt fixen
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

schau mal beim http.//www.computerhilfen.de/hilfen-17-39761-0.html nach.

chaosman

@anteros


oder hier
http://www.trojaner-board.de/showthr...light=agent.ay

chaosman

das versteh ich nicht.. laut antivir hab ich die datei ja gelöscht! sicher das dieser eintrag aufgrund des agent.ay zurückzuführen ist?

@anteros,
hast du die systemwiederherstellung auch ausgeschaltet?
hast du den virus in den angesicherten modus gelöscht?
anders lade escan runter und befolge folgende anweisungen


poste dann ein neues log von hjt.

wenn ein dialer dabei sein sollte, dann vorher auf eine diskette speichern.

chaosman

Hallo anteros,

- besuche bitte www.windowsupdate.com und lade Dir das aktuelle Service Pack runter, um die Sicherheit Deines Betriebssystems zu erhöhen.

- auf Deinem System gibt es mehrere unbekannte Prozesse. Überprüfe sie bitte mit dem Online-Scan von Kaspersky:

C:\Programme\MSI\LAN Utility\DiagAP8169.exe
E:\System\MemInfo\MemInfo.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntim e.exe
E:\Mobile\A925\DESKTO~1\Ecfmserv.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
E:\System\MemInfo\MemInfo.exe
C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe

Ergebnis?

- hast Du Deinen Computer bereits mit dem eScan untersucht? Lade Dir bitte den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083

- teile uns dann, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit, die auf Deinem System gefunden worden sind:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:

- erstelle ein weiteres Logfile mit Hijack This und poste es.

[edit] ... und befolge den Rat von Chaosman, den ich erst nach dem Posten gesehen habe.

SD

so leutz! danke erstmal für den tip mit escan

hab ihn drüber laufen lassen und ein wenig was gefunden...

hier das file vom hijack

Logfile of HijackThis v1.98.2
Scan saved at 21:53:31, on 18.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\AntiVir\AVGUARD.EXE
E:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
E:\AntiVir\AVGNT.EXE
E:\Burnsoftware\CloneCD\CloneCDTray.exe
E:\Multimedia\Winamp\winampa.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
E:\AntiVir\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Image Drives\Daemon\daemon.exe
E:\System\MemInfo\MemInfo.exe
E:\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe
E:\Kommunikation\Skype\Skype.exe
E:\Mobile\A925\Desktop Suite\ConnMngmntBox.exe
E:\Mobile\A925\Desktop Suite\ECTaskScheduler.exe
E:\Lexica\Brockhaus 2003\PGBMM.exe
E:\Sicherheit\PC-Alert\PCAlert4.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
E:\Mobile\A925\DESKTO~1\Elogerr.exe
C:\WINDOWS\System32\txtuser.exe
E:\Mobile\A925\DESKTO~1\BROADC~1.EXE
E:\Mobile\A925\DESKTO~1\SCRFS.exe
E:\Komprimierung\WinRAR 3\WinRAR.exe
C:\DOKUME~1\Michel\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SICHER~1\SPYBOT~1.3\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [AVGCtrl] "E:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Burnsoftware\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Burnsoftware\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Multimedia\Winamp\winampa.exe
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] E:\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Image Drives\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MemInfo] E:\System\MemInfo\MemInfo.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SIDEBAR] "C:\WINDOWS\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe"
O4 - HKCU\..\Run: [Skype] "E:\Kommunikation\Skype\Skype.exe" /nosplash /minimized
O4 - Global Startup: A925 Connection Manager.lnk = ?
O4 - Global Startup: A925 Task Scheduler.lnk = ?
O4 - Global Startup: Brockhaus-Direktsuche.lnk = E:\Lexica\Brockhaus 2003\PGBMM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = E:\Sicherheit\PC-Alert\PCAlert4.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Messenger\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Messenger\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab