AntiVir findet mehrere Trojaner ua TR/Agent.tzh
 

hallo zusammen!

habe schon ein paar mal versucht die probleme mit google zu lösen, da ich mich aber leider nicht so gut auskenne scheitere ich jedesmal wenn das HJT Log-File weiter besprochen wird.

ich hoffe mir kann einer weiter helfen.

also mein problem, nachdem windows gestartet wird kommt die trojanerwarnung von antivir das ein bzw mittlerweile zwei trojaner gefunden wurden. egal ob ich ihn lösche, in quarantäne verschiebe oder ignoriere er kommt immer wieder. die einzige möglichkeit ist über den task-manager den prozess zu löschen. aber das kann doch nicht die einzige lösung sein.

hab mir auch schon überlegt den rechner neu aufzusetzen, aber ich habe jede menge programme und spiele die ich nur installiert habe, deswegen will ich das nicht unbedingt machen.

folgende daten zum problem:

betriebssystem: windows xp professional vers 2002 sp2
anitvir: avira antivir personal - free antivirus produktvers. 8.2.0.337
gefundene trojaner: TR/Crypt.CFI.Gen - c:\windows\system32\nodsregq.exe und TR/Agent.tzh - c:\windows\system32\swinpodm.exe
HJT log-file:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:12, on 30.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\DAEMON Tools Lite\daemon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Belkin\F5D9050\Belkinwcui.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: mysidesearch search enhancer - {87dc7e6e-f70a-ea48-4424-94963bb76494} - C:\WINDOWS\system32\sotdusoebihzyz.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: gooochi browser optimizer - {e0dc7fbf-dcb0-6f8c-31f4-b30dd7521ef6} - C:\WINDOWS\system32\zgeojaekbomdxbw.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{67-7F-F8-81-ZN}] C:\windows\system32\nodsregq.exe P2P001
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\swinpodm.exe P2P001
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [ICQ] "C:\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\swinpodm.exe
O4 - Global Startup: Belkin Wireless Client Utility.lnk = C:\Belkin\F5D9050\Belkinwcui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - h**p://install.anark.com/client/version4/windows-ie/en/AMClient.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223490654781
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7781 bytes


ich hoffe ich habe alle erforderlichen daten gepostet und alle regeln befolgt. sollte noch etwas fehlen, sagt mir bitte bescheid, dann hol ich das sofort nach!

grüße
HH

Hallo HeadHunter96 und :hallo:

Alle Punkte nach der Reihe ausführen:

1.) Internet Explorer 6 .......... Der ist veraltet, bitte installiere die neue Version, auch wenn du ihn vielleicht nicht verwendest (siehe meine Signatur)!

2.) Windows XP Service Pack 2 ......... Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit deines Systems.(siehe meine Signatur)!

3.) Bitte folgenden Eintrag / folgende Einträge mit HijackThis fixen:

4.) Lasse bitte folgende Dateie(n) bei Virustotal ODER Jotti überprüfen:


LG Crusader

hi crusader!

vielen dank für deine antwort.

ich weiß zwar nicht was passiert ist, aber wie ich heute den pc eingeschaltet habe kam keine fehlermeldung mehr!!! das teil läuft sicher schon eine stunde und nichts!
auch die dateien scheinen im order system32 nicht mehr auf - daher kann ich sie auch nicht überprüfen lassen. ich hoff das bleibt jetzt so.

aber was meintest du mit 'fixen'?? meintest du im hjt den button 'fix checked'?? die 3 'dinger' gibts nämlich noch. und was bedeutet fixen??

lg
HH

Hallo HeadHunter96,

Ja Fixen bedeutet, das du zuerst die Einträge mit einem Hacken versehen musst und dann auf "Fix checked" drückst!

Das bitte aber unbedingt noch nachholen:

1.) Internet Explorer 6 .......... Der ist veraltet, bitte installiere die neue Version, auch wenn du ihn vielleicht nicht verwendest (siehe meine Signatur)!

2.) Windows XP Service Pack 2 ......... Es existiert bereits ein aktuelleres Service Pack. Service Packs erhöhen die Sicherheit deines Systems.(siehe meine Signatur)!

LG Crusader