Trojaner-Board - Neuer Virus?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Neuer Virus? (https://www.trojaner-board.de/7126-neuer-virus.html)

Hallo ich habe ein großes problem und zwar habe ich 3 Viren auf dem PC und es klingt bei mir nach Browserhighjacking. Ich habe Windows 2000 und immer wenn ich den Internetexplorer öffne ode rihn benutze zeigt mir Antivir(neu geupdated) einen Trojaner:
TR/Dldr.Agent.AP.2
Der erscheint aber immer wieder. Ich hab schon mit Highjck This gescanned und auch schon gefixed alles was "böse" ist es geht aber nicht weg und die von Highjackthis gefixeten Dateien sind nach einiger Zeit wieder da....
Hier mein Log:
Logfile of HijackThis v1.97.7
Scan saved at 17:11:27, on 26.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
D:\Programme\Antivir\AVGNT.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\msyp32.exe
D:\Programme\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
D:\Mousometer\mousometer.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Antivir\AVGUARD.EXE
D:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Will\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CF0E5B4A-432E-442B-BCA0-6E2E2FB9E742} - C:\WINNT\appoc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adstartup] C:\WINNT\System32\automove.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\Antivir\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [msyp32.exe] C:\WINNT\msyp32.exe
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - HKLM\..\RunOnce: [appqd32.exe] C:\WINNT\appqd32.exe
O4 - HKLM\..\RunOnce: [ntjg32.exe] C:\WINNT\system32\ntjg32.exe
O4 - Startup: Mousometer.lnk = D:\Mousometer\mousometer.exe
O4 - Startup: SpywareGuard.lnk = D:\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Office\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

Bitte helft mir ich qweiß nicht mehr weiter :lmaa:

Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Beende diese Prozesse:
C:\WINNT\msyp32.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
O2 - BHO: (no name) - {CF0E5B4A-432E-442B-BCA0-6E2E2FB9E742} - C:\WINNT\appoc.dll
O4 - HKLM\..\Run: [Adstartup] C:\WINNT\System32\automove.exe
O4 - HKLM\..\Run: [msyp32.exe] C:\WINNT\msyp32.exe
O4 - HKLM\..\RunOnce: [appqd32.exe] C:\WINNT\appqd32.exe
O4 - HKLM\..\RunOnce: [ntjg32.exe] C:\WINNT\system32\ntjg32.exe

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\WINNT\System32\automove.exe
C:\WINNT\msyp32.exe
C:\WINNT\appqd32.exe
C:\WINNT\system32\ntjg32.exe
C:\WINNT\appoc.dll
C:\WINNT\system32\yasrx.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HiJackThis(neue Version 1.98.2 runterladen) und Virus Log Information von eScan posten

Besorg dir eine aktuelle Version von Hijackthis und Escan (s.u. und führe ein Update dafür durch wie beschrieben) dann fixe:

C:\WINNT\msyp32.exe

alle R1-Einträge außer:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

O2 - BHO: (no name) - {CF0E5B4A-432E-442B-BCA0-6E2E2FB9E742} - C:\WINNT\appoc.dll
O4 - HKLM\..\Run: [Adstartup] C:\WINNT\System32\automove.exe
O4 - HKLM\..\Run: [msyp32.exe] C:\WINNT\msyp32.exe
O4 - HKLM\..\RunOnce: [appqd32.exe] C:\WINNT\appqd32.exe
O4 - HKLM\..\RunOnce: [ntjg32.exe] C:\WINNT\system32\ntjg32.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

Starte in den abgesicherten Modus, lösche die in den obigen Einträgen vorhanden exe und dll-dateien, so du sie findest (in den Optionen die Ansicht für alle Dateien und Ordner aktivieren). Dann scanne mit E-scan noch im angesicherten Modus wie angegeben nach Update:

http://www.trojaner-board.de/42731-escan-anleitung.html

Starte wieder in den Normalmodus und poste ein neues Log.
Wie es aussieht laufen bei dir eine Reihe von Backdoorprogrammen, wenn du genügend Erfahrung damit hast oder jemand, der sich auskennt, an der Hand ist, wäre eine komplette Neuinstallation das Sicherste. Auf jeden Fall solltest du zu einem alternativen Browser (Opera,firefox, Mozilla) wechseln, deine Surfgewohnheiten überdenken (Download aus unsicheren Quellen) aktive Inhalte wie Active-X und Java-Script deaktivieren außer für definitiv sichere Seiten und dein Windows regelmäßig auf den neuesten Stand bringen (kenne mich mit 2000 nicht aus, aber ich glaube, bei dir fehlen eine Reihe Patches).

So danke euch euch erstmal für die Hilfe.
Die besagten exe dateien, die ich im abgesicherten modus löschen sollte, habe ich nicht gefunden jedoch die .dll dateien.
Hier das neue Highjackthis log:
Logfile of HijackThis v1.98.2
Scan saved at 21:57:32, on 26.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Antivir\AVGUARD.EXE
D:\Programme\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
D:\Programme\Antivir\AVGNT.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Office\OSA.EXE
D:\Mousometer\mousometer.exe
D:\SpywareGuard\sgmain.exe
C:\Programme\iPod\bin\iPodService.exe
D:\SpywareGuard\sgbhp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Will\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\Antivir\AVSCHED32.EXE /min
O4 - Startup: Mousometer.lnk = D:\Mousometer\mousometer.exe
O4 - Startup: SpywareGuard.lnk = D:\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

Und wegen dem Escan log das ganze??oder nur den Viruslog??
Weil das ganze ist ein bisschen groß oder?

Der Virus wurde schonmal entfernt und dafür danke ich euch vom ganzen Herzen ;)

Jedoch habe ich noch eine Frage bei mir jetzt jede Internetseite als "Vertrauenswürdig" erklärt ist da noch etwas drauf ode muss ich nur etwas umstellen.