tr/scagent.dll.c / winserv.exe [Adware.IEPlugin]

#1 Hallo an alle....

Mein Antivir schlägt sofort mit dieser Fehlmeldung alarm, sobald ich ins Internet gehe.

Warnung:
C:\WINDOWS\HTTPFILTER.DLL

Ist das Trojanische Pferd TR/Scagent.DLL.C

und manchmal sofort danach

Warunug:
C:\WINDOWS\DIGFILT.DLL

Ist das Trojanische Pferd TR/Scagent.DLL.C

Sobald ich es gelöscht habe, erscheint es sofort wieder.
Bitte um eure Hilfe...
Gracias...

#2 Hi @ChrissiBissi
Zuerst machst du folgendes:
Scanne mit dem Antivirus im abgesicherten Modus.
http://www.bsi.de/av/texte/winsave.htm
Dann lade HijackThis, scanne, save und kopiere das Log ins Forum.
http://www.downloads.subratam.org/hijackthis.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi,
kannste hier
http://www.hijackthis.de/index.php
auch schon mal selbst auswerten und dann den experten hier noch mal vorstellen.
das ist eben nur eine maschiene ;-)

#4 HI.

Ich habe das selbe Problem wie Chrissi Bissi. Habe jetzt auch mal mit HiJackthis gescannt. Hier das Ergebniss:

Logfile of HijackThis v1.97.7
Scan saved at 17:45:27, on 14.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

Kann mir einer helfen diesen miesen Trojaner loszuwerden?

Bitte

#5 Hi,

Schau dir auch mal diese Seiten an um diesem Problem mit der Startseite auch vorzubeugen.

http://www.pc-today.de/browserhijacking2.htm

http://www.bsi.de/av/hijack/browserhj.htm

und hier ist deine auswertung des logfiles

http://www.hijackthis.de/index.php
aber wie schon gesagt, das ist eben nur eine maschiene ;-)
sollte sich Sabina schon noch mal ansehen.

#6 Danke erst einmal....
Habe es jetzt mitHijackthis gescannt. Hier das Ergebniss:

C:\DOKUME~1\Chris\LOKALE~1\Temp\Rar$EX00.963\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qlbsh.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {46F3B906-9341-261A-174E-A449FCEEC741} - C:\WINDOWS\system32\crdj.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\bin\jusched.exe
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs
O4 - HKLM\..\Run: [LaunchList] F:\Programme\LaunchList.exe
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Ulead Memory Card Detector] F:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] F:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [syssp32.exe] C:\WINDOWS\system32\syssp32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [atlgc.exe] C:\WINDOWS\system32\atlgc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: concept/design's onlineTV - {F6BEF073-76C8-4F30-AC9A-F96D611BDAAC} - F:\Programme\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - WWW. Prefix: http://%65%68%74%74%70%2E%63%63/?
O16 - DPF: {00000000-0000-0000-0000-000020040000} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sat.chm::/11699.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{165D1452-75E0-496F-8C4F-7803FDC3CB9B}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{165D1452-75E0-496F-8C4F-7803FDC3CB9B}: NameServer = 62.72.64.237 62.72.64.241
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\digfilt.dll
O19 - User stylesheet: (file missing)

und nun .......!?!??!?!??!?!?!?!??!?!??!?!?!??!?!?

#7 und nun .......!?!??!?!??!?!?!?!??!?!??!?!?!??!?!?

stellst du das mal hier rein und schaust dir das mal an.
http://www.hijackthis.de/index.php
auch schon mal selbst auswerten und dann wenn du damit durch bist den experten hier noch mal vorstellen.
das ist eben nur eine maschiene ;-)

#8 Hi, @ChrissiBissi

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


fixe mit dem HijackThis:

1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qlbsh.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.efinder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {46F3B906-9341-261A-174E-A449FCEEC741} - C:\WINDOWS\system32\crdj.dll (file missing)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs
O4 - HKLM\..\Run: [syssp32.exe] C:\WINDOWS\system32\syssp32.exe
O4 - HKLM\..\Run: [atlgc.exe] C:\WINDOWS\system32\atlgc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: concept/design's onlineTV - {F6BEF073-76C8-4F30-AC9A-F96D611BDAAC} - F:\Programme\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - WWW. Prefix: http://%65%68%74%74%70%2E%63%63/?
O16 - DPF: {00000000-0000-0000-0000-000020040000} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sat.chm::/11699.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab
O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\digfilt.dll
O19 - User stylesheet: (file missing)

NEUSTARTEN


Gehe mal in die Host-Datei (mit dem Editor oeffnen)
schau mal in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen !
127.0.0.1 localhost
#Orginal Host Datei
.................................................................................
<eScan< (in C:\base entpacken)
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.

Lade AdAware (free) scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Optimiere\reinige\reapriere mit TuneUp (30 Tage free) den Compi
http://www.tuneup.de/download/

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

..................................................................................................
Lade den Firefox
http://www.firebird-browser.de/
stelle eine Startseite ein und surfe nur mit ihm.

Dann muesste eigentlich wieder alles funktionieren.
Es waere gut, wenn du mir dann posten wuerdest, was <eScan< NICHT geleoscht hat.(zur spateteren manuellen Entfernung)

#Stelle unter IE eine neue Startseite ein und poste das Log noch mal (aber bitte das komplette Log )...mit dem IE !(nicht mit dem Firefox)

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 @bonefacker

Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

NEUSTARTEN

<eScan< (in C:\base entpacken)
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.

Lade AdAware (free) scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Optimiere\reinige\reapriere mit TuneUp (30 Tage free) den Compi
http://www.tuneup.de/download/

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#aktualisiere den IE (keine cdkey notwendig)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#MACHE UNBEDINGT DIE WINDOWSUPDATES
(falls keine cdkey da ist, lade alles ausser SP 1

..................................................................................................
Lade den Firefox
http://www.firebird-browser.de/
stelle eine Startseite ein und surfe nur mit ihm.

#Poste das Log noch mal (mit dem IE ) und poste, was der eScan nicht geloescht hat.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 @bonefacker

die Neuste Version Version von HijackThis ist v1.98.2!
und mache ein win update dein IE ist veraltet.

#11 Hi !
Ich habe ebenfalls den o.g. Trojaner.
Habe schon den HijackThis drüberlaufenlassen.
Hier ist der Logfile, es wäre sehr nett, wenn ihr mir helfen könntet !!

Logfile of HijackThis v1.98.2
Scan saved at 12:13:43, on 17.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
D:\Dialerwarner,etc\NISUM.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\scagent.exe
C:\WINNT\system32\MSTask.exe
D:\Dialerwarner,etc\SymProxySvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
D:\Dialerwarner,etc\NISSERV.EXE
C:\WINNT\Explorer.EXE
D:\Programme\ICQ\ICQLite\ICQLite.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb03.exe
D:\Dialerwarner,etc\IAMAPP.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ORGASM~1\LOKALE~1\Temp\Rar$EX01.176\HijackThis.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\AVPersonal\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [iamapp] D:\Dialerwarner,etc\IAMAPP.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A0AB40F-C440-430D-88EE-5234F7B5AC0B}: NameServer = 192.168.57.241
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll




Danke schön

Fledder

#12 Hallo @Fledder

Fixe mit dem HijackThis:
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll

neustarten

Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINNT\system32\scagent.exe...... Trojanische Pferd TR/Scagent.DLL.C (?)
C:\WINNT\digfilt.dll
was meint Kaspersky?

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Aktualisiere unbedingt den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6


C:\DOCUME~1\"Username"\LOCALS~1\Temp
#Start<Ausfuehren< %temp% (kannst du reinkopieren)
loesche die Temp.Dateien

#Lade eScan< (in C:\base entpacken)
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.

Poste dann das Virenlog.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi !

Ich glaube und hoffe, dass es geklappt hat. der Kasperky hat nichts mehr auszusetzen und es poppt keine Warnmeldung mehr auf !!

Also vielen Dank !!

Fledder

P.S. Der log vom Virenscan war ellenlang ...

#14 Hi@Fledder
Du solltest noch mal scannen und dann nur die <infizierten < Dinge rausschreiben oder abkopieren, denn einige sind <no delet< und das muss man dann manuell loesche,
Poste dann auch das Log vom HijackThis noch mal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#15 hi Leute,

ich habe selbiges Problem wie einige andere hier

hier das HijackThis LOG:

Logfile of HijackThis v1.98.2
Scan saved at 11:51:29, on 23.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://stormseekers.nwy.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dourcttuqxbyuhhcelrxtvci.com/QQQFR0dLmiOzfiDkBOGw90Y_IOEEE_/9uv/Ga3a2LoLdrb3C8W_aIyXNj7LyNr53.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gdblbqvofnagglqkahgvy.com/QQQFR0dLmiNBRLjQ9076zWU4XhhwRgjBrInxnUR3Ank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {03EBC03C-8BC9-4749-9CA3-3F02989A0DE7} - C:\WINNT\m.dll (file missing)
O2 - BHO: (no name) - {1C03A3D8-FBAB-5253-4BBB-405BB6640FAF} - C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\bolt dale.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINNT\system32\qilexolo.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Creative Launcher] C:\Programme\Creative\SBLive2k\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RegTweak] C:\Rage3DTweak\RegTwk.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [saap] c:\winnt\180solutions\saap.exe
O4 - HKLM\..\Run: [hql] C:\WINNT\hql.exe
O4 - HKLM\..\Run: [heck 64 global free] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BagsSizeHeck64\atom close.exe
O4 - HKCU\..\Run: [loader] c:\WINNT\loader.exe
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe
O4 - HKCU\..\Run: [NoAdware] "C:\NoAdware\NoAdware.exe" /s
O4 - HKCU\..\Run: [helpextra] C:\DOKUME~1\Tommy\ANWEND~1\SPAMIN~1\save each intra.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: gameutil.exe.lnk.disabled
O4 - Global Startup: PC Alert 4.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll
O18 - Filter: text/plain - {957F957E-818D-43DF-BA48-3DD4B1CB0309} - C:\WINNT\m.dll

bitte um Hilfe den lästigen Trojaner loszuwerden

danke!