TR/Proxy.Agent.AC
 

Hi,ich bekomme von AntiVir die Meldung das Dateien mit dem Trojanischem Pferd
"TR/Proxy.Agent.AC" infiziert sind.Ich kann diese Dateien zwar löschen,aber es werden jedesmal wieder neue Dateien infiziert.
Weiß jemand Rat?

Scanne hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach erstelle mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Hallo Christian

der Log:
Logfile of HijackThis v1.98.2

Scan saved at 11:24:38, on 10.09.04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE

C:\SCANNER\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.noblindlinks.com/sp.shtml

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.noblindlinks.com/sp.shtml

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)

O2 - BHO: (no name) - {7A748B2F-5231-351A-C6CD-F763B1DB92AD} - C:\WINDOWS\SYSTEM\poejdiya.dll

O2 - BHO: (no name) - {79F33433-B81A-08FA-BCF7-94A7038F2EDD} - (no file)

O2 - BHO: (no name) - {0F0DD98E-1BD9-0A23-C3A0-110D45A494DF} - C:\WINDOWS\SYSTEM\vlqvelwe.dll

O2 - BHO: (no name) - {9F334F67-40F1-1E3C-F5D7-6F84B8E63F77} - C:\WINDOWS\SYSTEM\opgkfuhq.dll

O2 - BHO: (no name) - {4AB1F366-B707-DA38-ED1B-CFCBD885B531} - C:\WINDOWS\SYSTEM\tnqavhmf.dll

O2 - BHO: (no name) - {3BB75E9D-EE0B-7D44-8AC8-E881F787A7A7} - C:\WINDOWS\SYSTEM\fzszhabz.dll

O2 - BHO: (no name) - {795DD92F-4BE0-6074-D041-C5BE52A0DABD} - C:\WINDOWS\SYSTEM\njahslsd.dll

O2 - BHO: (no name) - {42609692-87E1-9526-463B-AD3B30547F15} - C:\WINDOWS\SYSTEM\trindzhl.dll

O2 - BHO: (no name) - {19F76F21-F7C7-5682-BB41-23E274F50925} - C:\WINDOWS\SYSTEM\rfbjqocr.dll

O2 - BHO: (no name) - {4C33E31B-DD45-8ED0-1990-7D2C454DA99A} - C:\WINDOWS\SYSTEM\zglwcmqp.dll

O2 - BHO: (no name) - {7A261873-4EBD-6E26-85D9-A361D4BBB2C8} - C:\WINDOWS\SYSTEM\euvsmudb.dll

O2 - BHO: (no name) - {0E821039-D8AF-2DFF-FDDA-C057448FC4B8} - C:\WINDOWS\SYSTEM\tixfpzaq.dll

O2 - BHO: (no name) - {98D3D736-8DDF-FB4E-063C-012F6F5745ED} - C:\WINDOWS\SYSTEM\oifrcpem.dll

O2 - BHO: (no name) - {01D8E631-0BDB-FD81-7244-7190CD4EBE7F} - C:\WINDOWS\SYSTEM\jtkrviji.dll

O2 - BHO: (no name) - {2DF9EA41-7D33-A8B9-E20B-2BA10E2241DB} - C:\WINDOWS\SYSTEM\mpcdwdum.dll

O2 - BHO: (no name) - {AECC1B89-7B54-5ED7-5F0D-98C55EBCC6AD} - C:\WINDOWS\SYSTEM\ggunfywt.dll

O2 - BHO: (no name) - {85643194-4D80-FA7E-2FE4-54F61E0A24EF} - C:\WINDOWS\SYSTEM\jfakdnlr.dll

O2 - BHO: (no name) - {B350D169-2439-9249-047A-1C048E5411CA} - C:\WINDOWS\SYSTEM\uenctrxz.dll

O2 - BHO: (no name) - {B4DE7870-56B9-2461-3461-D855CD1CC972} - C:\WINDOWS\SYSTEM\rfgkxpzi.dll

O2 - BHO: (no name) - {3A355F98-7CBE-0FF0-55CF-C9384E4E9960} - C:\WINDOWS\SYSTEM\acrkuudu.dll

O2 - BHO: (no name) - {75413266-05D5-81F1-A59F-C1F1FBA734DD} - C:\WINDOWS\SYSTEM\xnjlegja.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2internet.fr

O16 - DPF: {DCF96DA0-ED33-40FF-B83E-AB7011C2BA7E} (Dialer Class) - http://66.230.145.17/dialers/1287.cab

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

Ist das Log aus dem abgesicherten Modus? Bitte erstelle eins aus dem normalen. Gehst du über DSL ins Netz oder über Modem/ISDN?

Hallo,

der log war vom normalen Modus.Ich habe nur vorher alles mögliche aus dem Autostart entfernt,deswegen sowenige aktive Prozesse. Der PC ist ein Laptop eines Freundes.Er geht normalerweise über Modem online,aber wenn er bei mir ist geht er über DSL oder auch über ISDN online.

... ein Fall für SpHjfix.exe
würde ich denken ... aber ... :D ich denke in diesem Fall ja meistens falsch.

@ MountainKing ... was sagst Du dazu?

SD

[edit] DAS war eine Frage :heulen: ...

@ sky.d , versuch's mal damit. Wenn's nicht klappt, melde Dich wieder bei uns. Irgendeiner wird mich dann verhauen.

Viel Erfolg!

[edit2] .. poste dann bitte noch ein weiteres Logfile.

Das Programm läuft bei mir nicht.Ich bekomme nur die anzeige "SP.html-Hijack fixer -> Nicht Infiziert !" .Ansonsten tut sich nicht's.:heulen:

du kannst alles fixen bis auf diese einträge:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE

C:\SCANNER\HIJACKTHIS.EXE


O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min

dann solltest du später eine microsoft-startseite haben, wenn alles geklärt ist kannst du dir wieder eine startseite nach wunsch einrichten.
________
versuch es mal mit einem programm gegen dialer, und nebenbei lass einen onlinescan mal drüber:

vorher unbedingt bei geschlossenen browser die temp.internetfiles löschen incl.offlineinhalte, und den INHALT des ordners TEMP raus! den papierkorb dann noch leeren.
dann den hier:
http://de.bitdefender.com/scan/licence.html

besten gruss
rock

Danke,hab die sachen jetzt mal gefixt,außer die google seite.Der Onlinescan läuft gerade. Sieht aber jetzt schon ganz gut aus.:huepp: