TR/Agent AB blockiert WMP

#0
24.06.2004, 15:29
Member

Beiträge: 11
#1 Hallo,

ich habe seit heute den Trojaner TR/Agent AB auf meinem PC. Anscheinend hat dieser Virus meinen Windows Media Player befallen, denn wenn ich diesen Starten will meldet sich AntiVir und möchte diesen Trojaner löschen. Seltsamerweise geht das nicht! Es kommt nämlich jedes mal eine Fehlermeldung, dass die "bdlj4126.exe" nicht gefunden werden konnte. AntiVir funktioniert aber einwandfrei!

Wie kann ich diesen lästigen Virus wieder von meinem PC entfernen bzw. wie bekomme ich WMP wieder zum laufen.


...also anscheinend scheint der virus explizit nur den Windows Media Player zu zerstören. Denn wenn ich den WMP lösche und WMA, AVI, MPG, MPEG, WMV etc. Dateien mit einem anderen Videoprogramm öffne funktionieren sie ohne, dass AntiVir sich einschaltet.
Aber ist der Virus denn jetzt nachdem löschen vom WMP auch wirklich weg??
Ich denke nicht, da nach einer Neuinstallation vom WMP sich AntiVir wiederum beim öffnen von Dateien mit dem WMP beschwert.

Vieleicht kann mir ja einer von euch weiterhelfen. Ich bin jetzt zu mindestens am ende meines Lateins. Denn auch andere Virenscanner wie AVG können den virus nicht vollständig zerstören.


Hier ist mal mein Hijack:

Logfile of HijackThis v1.97.7
Scan saved at 16:30:59, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Demos\AVPersonal\AVGUARD.EXE
C:\Demos\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Demos\Refreshlock\RefreshLock.exe
C:\Demos\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\fpickp.exe
C:\Dokumente und Einstellungen\Eva-Maria Schüler\Desktop\hijackthis1977\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RefreshLock] C:\Demos\Refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Demos\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 2\LMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [shatmw] C:\WINDOWS\System32\shatmw.exe
O4 - HKLM\..\Run: [fpickp] C:\WINDOWS\System32\fpickp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.5011226852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F486B7-643A-4255-93A2-2FAFA264A351}: NameServer = 217.237.150.33 194.25.2.129



Grüße

Maggus
Dieser Beitrag wurde am 24.06.2004 um 16:31 Uhr von Maggus editiert.
Seitenanfang Seitenende
25.06.2004, 17:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 fixe das
O4 - HKLM\..\Run: [shatmw] C:\WINDOWS\System32\shatmw.exe
O4 - HKLM\..\Run: [fpickp] C:\WINDOWS\System32\fpickp.exe
neustarten
ueberpruefe es mit Kaspersky
http://www.kaspersky.com/scanforvirus


Lade die mwav.exe ...30 Tage free und scanne
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 17:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.06.2004, 17:50
Member

Themenstarter

Beiträge: 11
#3 vielen dank!

Aber was genau soll ich mit kaspersky denn überprüfen? Etwa den Windowas Media Player, oder diese beiden exe-Dateien?

Grüße

Marcus
Seitenanfang Seitenende
26.06.2004, 18:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 C:\WINDOWS\System32\shatmw.exe
C:\WINDOWS\System32\fpickp.exe

ueberpruefe es mit Kaspersky
http://www.kaspersky.com/scanforvirus

Lade die mwav.exe (escann ist ein Antivirentool) ...30 Tage free und scanne
http://www.mwti.net/antivirus/free_utilities.asp

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.06.2004 um 18:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.06.2004, 18:23
Member

Themenstarter

Beiträge: 11
#5 ...also ich hatte die beiden exe-Dateien jetzt schon gefixed. sie sind jetzt also nicht mehr vorhanden. Ich hab auch mit mwav.exe gesanned. Jedoch wenn ich den WMP wieder installiere kommt bei starten die selbe Meldung von AntiVir. Ich glaube ich lass den WMP dann einfach deinstalliert. Der Virus/Trojaner dürfte ja eigentlich jetzt nicht mehr auf meinem PC vorhanden sein, oder?

Ich scanne jetzt einfach nochmal mit mwav.exe und poste dann nochmal meine hijack.

Grüße

Maggus
Seitenanfang Seitenende
26.06.2004, 19:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Das Fixen loescht keine Dateien, die muessen dann in der Registry und als exe manuell geloescht werden...es sei denn die mwav.exe hat die Arbeit schon uebernommen.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.06.2004, 19:38
Member

Themenstarter

Beiträge: 11
#7 wow! erstmal vielen Dank! Nachdem ich mit mwav.exe mein komplettes system durchforstet habe funktioniert der WMP auch wieder. Aber irgendwie ist es echt erschreckend, dass mwav.exe insgesamt 20 viren und trojaner auf meinem pc gefunden und gelöscht bzw. umgenannt hat, obwohl ich die zonelabs firewall und AntiVir immer im hintergrund laufen habe und fast wöchentlich update!

Also wirklich nochmal vielen dank!


Ach ja hier ist dann nochmal meien hijack nach dem scan:

Logfile of HijackThis v1.97.7
Scan saved at 19:39:51, on 26.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Demos\AVPersonal\AVGUARD.EXE
C:\Demos\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\PROMon.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Demos\Refreshlock\RefreshLock.exe
C:\Demos\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eva-Maria Schüler\Desktop\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RefreshLock] C:\Demos\Refreshlock\RefreshLock.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Demos\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Demos\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.5011226852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F486B7-643A-4255-93A2-2FAFA264A351}: NameServer = 217.237.150.33 194.25.2.129



Grüße

Maggus
Dieser Beitrag wurde am 26.06.2004 um 19:39 Uhr von Maggus editiert.
Seitenanfang Seitenende
26.06.2004, 19:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende