Mal wieder: TR/Dldr.Agent.CB

cosafe · 12.10.2004, 21:58

hab TR/Dldr.Agent.CB auf meinem rechner und es auch schon probiert mit eScan zu beseitigen, aber dieses (Test)Programm (site war hier irgendwo angegeben) findet nur einzelne Viren, aber löscht sie nicht. Dafür muss ich erst das Programm kaufen. Geht es nicht irgendwie anders.

Der Pfad der infizierten Stelle ist: w32_API.cab! irgendwo stand hier auch, dass man einfach die Datei/Archiv löschen kann. Ist dies möglich ohne das sich irgendwas verändert? hab da so schlechte erfahrungen mit der Löschung von Dateien ect....

Ich bitte dringend um Hilfe!

Logfile of HijackThis v1.98.2
Scan saved at 22:57:58, on 12.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOW\SYSTEM\KERNEL32.DLL
C:\WINDOW\SYSTEM\MSGSRV32.EXE
C:\WINDOW\SYSTEM\mmtask.tsk
C:\WINDOW\SYSTEM\SPOOL32.EXE
C:\WINDOW\SYSTEM\MPREXE.EXE
C:\WINDOW\SYSTEM\STIMON.EXE
C:\WINDOW\SYSTEM\MSTASK.EXE
C:\WINDOW\EXPLORER.EXE
C:\WINDOW\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOW\TASKMON.EXE
C:\WINDOW\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\KAZAA LITE\KAZAALITE.KPP
C:\WINDOW\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\PROGRAMME\ICQPLUS\VPLUS.EXE
C:\WINDOW\SYSTEM\WMIEXE.EXE
C:\WINDOW\SYSTEM\PSTORES.EXE
C:\WINDOW\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\EIGENE DATEIEN\HIJACKTHIS_198\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.control-center.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
F1 - win.ini: run=C:\WINDOW\unwise.exe
O2 - BHO: xyhgnkvpwrrvvzhknarx - {104538e0-4b5e-11d7-bfae-00a0249d1d5d} - C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: hprmtrtdrch - {104538e1-4b5e-11d7-bfae-00a0249d1d5d} - C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOW\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOW\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOW\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PCHealth] C:\WINDOW\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAZAA] "C:\PROGRAMME\KAZAA LITE\KPP.EXE" "C:\PROGRAMME\KAZAA LITE\KAZAALITE.KPP" /SYSTRAY
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOW\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOW\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOW\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ] C:\PROGRAMME\ICQ\ICQ.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 4800TA Pro\Driver\WATCH.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOW\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOW\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServe 3.0\csim\aim.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe

Cidre · 12.10.2004, 22:06

Zitat:

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein IE ist nicht gepatcht, also dringendst updaten.
Danach
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

w32_API.cab löschen!

eScan AntiVirus wie beschrieben anwenden und neues Log-File posten.

cosafe · 13.10.2004, 10:20

so... ich hab jetzt w32_api.cab gelöscht, aber mir hat escan jetzt weiter vom trojaner infizierte dateien gezeigt und diese konnte ich nicht löschen... da wurde mir immer der zugriff verweigert...

ach so... und ich hätte da noch eine frage: wie kann ich meinen IE patchen?

Logfile of HijackThis v1.98.2
Scan saved at 11:06:28, on 13.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOW\SYSTEM\KERNEL32.DLL
C:\WINDOW\SYSTEM\MSGSRV32.EXE
C:\WINDOW\SYSTEM\SPOOL32.EXE
C:\WINDOW\SYSTEM\MPREXE.EXE
C:\WINDOW\SYSTEM\STIMON.EXE
C:\WINDOW\SYSTEM\MSTASK.EXE
C:\WINDOW\SYSTEM\mmtask.tsk
C:\WINDOW\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOW\EXPLORER.EXE
C:\WINDOW\TASKMON.EXE
C:\WINDOW\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\KAZAA LITE\KAZAALITE.KPP
C:\WINDOW\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\PROGRAMME\ICQPLUS\VPLUS.EXE
C:\WINDOW\SYSTEM\WMIEXE.EXE
C:\WINDOW\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\HIJACKTHIS_198\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.control-center.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
F1 - win.ini: run=C:\WINDOW\unwise.exe
O2 - BHO: xyhgnkvpwrrvvzhknarx - {104538e0-4b5e-11d7-bfae-00a0249d1d5d} - C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: hprmtrtdrch - {104538e1-4b5e-11d7-bfae-00a0249d1d5d} - C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOW\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOW\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOW\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PCHealth] C:\WINDOW\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAZAA] "C:\PROGRAMME\KAZAA LITE\KPP.EXE" "C:\PROGRAMME\KAZAA LITE\KAZAALITE.KPP" /SYSTRAY
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOW\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOW\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOW\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ] C:\PROGRAMME\ICQ\ICQ.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 4800TA Pro\Driver\WATCH.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOW\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOW\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} - C:\Programme\CompuServe 3.0\csim\aim.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe

Shadowdance · 13.10.2004, 11:35

Hallo cosafe,

Zitat:

wie kann ich meinen IE patchen?

MSIE: Internet Explorer v6.00 (6.00.2600.0000) - update den IE --> www.windowsupdate.com

Überprüfe mit dem online-scan von Kaspersky folgende Dateien:

C:\WINDOW\unwise.exe
C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
C:\Programme\BearPaw 4800TA Pro\Driver\WATCH.exe

Teile uns das Ergebnis der Überprüfung mit. Sende die Dateien, wenn sie infiziert sein sollten, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This:

O4 - HKLM\..\Run: [KAZAA] "C:\PROGRAMME\KAZAA LITE\KPP.EXE"
"C:\PROGRAMME\KAZAA LITE\KAZAALITE.KPP" /SYSTRAY
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOW\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOW\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: CSIM - {1CC5B705-DB52-43FB-9161-4E30900F9925} -
C:\Programme\CompuServe 3.0\csim\aim.exe (file missing) (HKCU)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) -
h**p://install.global-netcom.de/ieloader.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) -
h**p://freeload.cc/secure/ieloader.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
h**p://www.control-center.de/
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche: meInstaller.exe

Zitat:

mir hat escan jetzt weiter vom trojaner infizierte dateien gezeigt und diese konnte ich nicht löschen... da wurde mir immer der zugriff verweigert...

Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre] Nach dem Löschen bitte die Systemwiederherstellung wieder aktivieren.

Welche Viren (Namen) wurden auf Deinem Rechner gefunden? Erstelle ein neues Logfile mit Hijack This und poste es.

SD

cosafe · 13.10.2004, 12:55

der online-scan hat nur bei c:\window\anwendungsdaten\oocketgrquj.dll funktioniert und es wurde nichts gefunden... bei den anderen beiden hat es sich aufgehangen bzw. kam zu keinem ende...

die malware habe ich gelöscht, aber die datei meInstaller.exe konnte ich nicht auffinden und somit auch nicht löschen.

Logfile of HijackThis v1.98.2
Scan saved at 13:53:05, on 13.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOW\SYSTEM\KERNEL32.DLL
C:\WINDOW\SYSTEM\MSGSRV32.EXE
C:\WINDOW\SYSTEM\mmtask.tsk
C:\WINDOW\SYSTEM\SPOOL32.EXE
C:\WINDOW\SYSTEM\MPREXE.EXE
C:\WINDOW\SYSTEM\STIMON.EXE
C:\WINDOW\SYSTEM\MSTASK.EXE
C:\WINDOW\EXPLORER.EXE
C:\WINDOW\TASKMON.EXE
C:\WINDOW\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOW\LOADQM.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOW\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\PROGRAMME\ICQPLUS\VPLUS.EXE
C:\WINDOW\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOW\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\HIJACKTHIS_198\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
F1 - win.ini: run=C:\WINDOW\unwise.exe
O2 - BHO: xyhgnkvpwrrvvzhknarx - {104538e0-4b5e-11d7-bfae-00a0249d1d5d} - C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: hprmtrtdrch - {104538e1-4b5e-11d7-bfae-00a0249d1d5d} - C:\WINDOW\ANWENDUNGSDATEN\OOCKETGRQUJ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOW\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOW\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOW\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PCHealth] C:\WINDOW\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOW\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOW\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOW\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [ICQ] C:\PROGRAMME\ICQ\ICQ.EXE -trayboot
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Watch.lnk = C:\Programme\BearPaw 4800TA Pro\Driver\WATCH.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

Hobi · 13.10.2004, 19:05

Hallo
Habe ihn auch sooon Scheiß
Datei: w32_API.cab sagt mein Antivir Guard

Logfile of HijackThis v1.98.2
Scan saved at 19:57:35, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Magic Keyboard\MagicKey.exe
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Programme\Magic Keyboard\V3D.exe
C:\Programme\Magic Keyboard\OSD.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Hobi\Eigene Dateien\Backup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Magic Keyboard.lnk = C:\Programme\Magic Keyboard\MagicKey.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Hier Escan nach scan

Wed Oct 13 19:46:15 2004 => ***** Scanning complete. *****

Wed Oct 13 19:46:15 2004 => Total Files Scanned: 2227
Wed Oct 13 19:46:15 2004 => Total Virus(es) Found: 1
Wed Oct 13 19:46:15 2004 => Total Disinfected Files: 0
Wed Oct 13 19:46:15 2004 => Total Files Renamed: 0
Wed Oct 13 19:46:15 2004 => Total Deleted Files: 0
Wed Oct 13 19:46:15 2004 => Total Errors: 1
Wed Oct 13 19:46:15 2004 => Time Elapsed: 00:02:27
Wed Oct 13 19:46:15 2004 => Virus Database Date: 2004/10/11
Wed Oct 13 19:46:15 2004 => Virus Database Count: 106160

Wed Oct 13 19:46:15 2004 => Scan Completed.

Bitte helft mir.

emebo · 13.10.2004, 19:41

Antivir hat mir gesagt, dass ich den Trojaner TR/Dldr.Agent.DE habe. Habe ihn auch gelöscht. Ob ich damit meine Probleme schon beseitigt habe, weiß ich aber nicht.

Das Logfile habe ich beigefügt (soweit habe ich die Anweisungen nämlich schon verstanden. An sich hoffe ich ja, dass da alles in Ordnung ist, weil ich zwar die anderen Anweisungen schon durchgelesen habe, aber ich befürchte ich muss dann sehr dumme Fragen stellen, weil ich nicht alles verstanden habe.

Danke im voraus.

Logfile of HijackThis v1.98.2
Scan saved at 20:24:38, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\D-Tools\daemon.exe
C:\Dokumente und Einstellungen\Admin.NAME-5A14PJF853\Eigene Dateien\Winamp\Plugins\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\BÖHNER\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Admin.NAME-5A14PJF853\Eigene Dateien\Winamp\Plugins\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = C:\WINLITE\ZAWF.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_37.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx

cosafe · 13.10.2004, 23:06

bei mir wird nach der löschung zwar nicht mehr der trojaner gefunden, aber ich habe dennoch einige probleme mit meinem rechner.
z.b. ist die i-net verbindung wahnsinnig langsam und die anderen rechner, die an den router angeschlossen sind haben eine schnelle verbindung, obwohl es ältere rechner sind.
ein weiteres problem ist noch, dass ich seit einigen tage (seit dem der trojaner drauf war/ist) nicht mehr über den netzwerkdrucker drucken kann... bei den anderen druckern läuft dies ohne probleme.

kann dies alles mit dem trojaner zusammenhängen?

cosafe · 14.10.2004, 15:04

hallo... wieso hilft mir keiner? hoffe es wurde nur übersehen...

Cidre · 14.10.2004, 18:30

Zitat:

wieso hilft mir keiner?

Ganz einfach, weil du eh nicht das machst was man dir empfiehlt.
Also helfe ich lieber jemand anderen, der diese auch annimmt und umsetzt.

cosafe · 15.10.2004, 11:20

hä? ich habe aber das gemacht, was mir gesagt wurde

Shadowdance · 15.10.2004, 14:57

@ cosafe,

dann lies Dir bitte nochmal alles durch, was wir Dir an Tips gegeben haben und worum wir Dich gebeten haben. Vielleicht schaffen wir es dann gemeinsam, Deinen Rechner irgendwann wieder flott zu kriegen.

SD

Shadowdance · 15.10.2004, 15:16

--->Hobi

Dein Logfile ist bis auf zwei unbekannte Einträge in Ordnung. Diese beiden Einträge kannst Du online checken lassen, Kaspersky:

C:\Programme\Magic Keyboard\MagicKey.exe
C:\Programme\Magic Keyboard\V3D.exe

Ergebnis?

Zitat:

Wed Oct 13 19:46:15 2004 => Total Virus(es) Found: 1

Name des Virus?

-----------------

--->emebo

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix checked klicken):

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - ht*p://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - ht*p://www.download-url.de/install/StarInstall.ocx

aktiviere die Systemwiederherstellung, boote in den normalen Modus. Dein Logfile sieht bis auf diese beiden Einträge sauber aus.

SD

emebo · 15.10.2004, 18:45

Hallo Shadowdance,

vielen Dank. Hab schon befürchtet, als Laie komme ich damit gar nicht zu recht, aber bei der tollen Erklärung: alles bestens.

Diese Befehlszeile mit den Mini-Clips macht mir etwas Sorgen. Ich weiß, dass sich meine Tochter des öfteren dort aufhält und kleine Internet-Spiele verwendet. Sollte sie davon lieber die Finger lassen?

Gruß - emebo

Shadowdance · 16.10.2004, 01:44

---> emebo,

man kann sein System schützen, auch als Laaie ;-)

Schau mal hier nach:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

Mal wieder: TR/Dldr.Agent.CB

Plagegeister aller Art und deren Bekämpfung: Mal wieder: TR/Dldr.Agent.CB