"IRFFQKG.dll" - Virus Nicht wegzubringen

#1 Hi Leute!

In meiner Verzweiflung hab ich euer Board entdeckt und hoffe auf unterstützung...

Mein (aktualisierter) AntiVir schreit ständig wegen eines "DR/AGENT.BH.1" namens "IRFFQKG.dll" im System32-Verzeichnis meines Win2000-Rechners. Klicke ich auf Löschen, kommt die Meldung nach 10sek-3min. wieder.
Wenn ich die Sache im Explorer verfolge, wird sie auch gelöscht- Nur dann wieder erstellt.

Im Startup hab ich keine verdächtigen Programme, AdWare findet nichts.

Logfile of HijackThis v1.98.2
Scan saved at 20:03:22, on 23.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\AonInformer\informer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\PC-Service\svchost-Problem\PrcView\PrcView.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF2D0296-DA17-4238-BF24-A56F3CE8E126}: NameServer = 195.3.96.67 195.3.96.68


Ich wär euch echt dankbar wenn hilfreiche Antworten kommen.


Gruß Jonny

#2 Dein Log-File sieht soweit sauber aus, aber das hat nichts zu bedeuten!

Was mir auffällt ist, daß dein IE hoffnungslos veraltert ist, auch wenn du den IE nicht mehr benutzt sollte er trotzdem aktualisiert werden, und du surfst als Administrator .

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information von eScan.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Dein Tipp war super. ER hat jede Menge Viren gefunden:

File C:\WINNT\system32\iirffqkg.dll infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: File to be deleted on reboot.

File C:\WINNT\system32\winamxe.exe infected by "Backdoor.Spyboter.by" Virus. Action Taken: File Renamed.

File C:\WINNT\Downloaded Program Files\d_terrxx.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

File C:\WINNT\Downloaded Program Files\CONFLICT.1\d_terrxx.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

File C:\WINNT\Downloaded Program Files\CONFLICT.2\d_terrxx.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

File C:\WINNT\Downloaded Program Files\on-line.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\msolic.exe infected by "TrojanDownloader.Win32.Small.pc" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Service\hijackthis\backup-20040820-193507-268 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Administrator\Desktop\Programme\PC-Service\tools\04gozilla391.exe infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-301da7d9-558d0dda.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-5269eb4f-63f46ed5.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\FEAT2[1].EXE.VIR infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\MSXMIDI.EXE.VIR infected by "TrojanDownloader.Win32.Agent.z" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\FRODO[1].HTM.VIR infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\DAT4.TMP.VIR infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\XDLDR24.EXE.VIR infected by "TrojanDownloader.Win32.Xoad" Virus. Action Taken: File Deleted

File C:\Programme\AVPersonal\INFECTED\XDLDR17.EXE.VIR infected by "TrojanDownloader.Win32.Xoad" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.VIR infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.VIR infected by "Exploit.Java.Bytverify" Virus. Action Taken: File Renamed.

File C:\Programme\AVPersonal\INFECTED\BLACKBOX.CLASS-295D5967-5B01554F.CLASS.VIR infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\DUMMY.CLASS-1EBD1E05-20EB0B0B.CLASS.VIR infected by "Trojan.Java.ClassLoader.Dummy.c" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\IIRFFQKG.DLL.VIR infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\IIRFFQKG.DLL.001 infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\IIRFFQKG.DLL.002 infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\IIRFFQKG.DLL.003 infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\IIRFFQKG.DLL.004 infected by "TrojanDownloader.Win32.Agent.bh" Virus. Action Taken: File Deleted.

File D:\Eigene Dateinen E\Downloads\Eigene Dateien\brutus-aet2.zip tagged as not-a-virus:RiskWare.PSWTool.Brutus. No Action Taken.

File D:\Eigene Dateinen E\Downloads\Eigene Dateien\Nostra1.5.1.exe infected by "not-a-virus:AdvWare.SaveNow.e" Virus. Action Taken: File Renamed.

File D:\Eigene Dateinen E\Restliche Daten\PC-Service\tools\04gozilla391.exe infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: File Renamed.





Der Fehler ist behoben.

Aber warum erkennt mein AntiVir diese Sachen nicht?

Warum ist es eig. schlecht als Admin zu surfen? Es ist kein Netzwerk-PC und ich bin der einzige Benutzer.

Gibts das Explorer-upd. kostenlos bzw. warum muss ich ihn aktuell halten (Benutze firefox


Jedenalls vielen Dank für die Mühe Cidre!

#4

Zitat

Der Fehler ist behoben.

Nach dem viele Backdoor Trojaner auf deinem System waren, solltest du zumindest deine Passwörter ändern.

Zitat

Aber warum erkennt mein AntiVir diese Sachen nicht?

Weil eScan die Kaspersky Suchenengine, sowie dessen Signaturen verwendet.
Die Kaspersky Suchenengine schneidet bei den Tests immer am besten ab, siehe http://www.av-comparatives.org/seiten/ergebnisse_2004_08zz.php .
Aber die meisten Funde hast du selbst in die AntiVir Quarantäne verschoben.

Zitat

Warum ist es eig. schlecht als Admin zu surfen?

Siehe Punkt 3.6 http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Zitat

Gibts das Explorer-upd. kostenlos bzw. warum muss ich ihn aktuell halten (Benutze firefox

Ja, ist kostenlos.
Weil er einfach zu tief im System verankert ist.
Siehe Punkt 6.1 http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 Und welche Passwörter soll ich da ändern bzw. Wie funkt das mit den Backdoor-Trojanern?

#6 und wie hast du dan die trojans gelöscht nachdem du den scan durchgeführt hast?hab das selbe problem!