Wie lösch ich den Trojaner TR/Dldr.Agent.BQ

#1 Hi

Müsste einmal wissen welche Dateien in der HijackerThis Logfile nicht in Ordnung sind.


Logfile of HijackThis v1.98.2
Scan saved at 20:53:18, on 14.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Internet\AntiVir\AVGUARD.EXE
D:\Internet\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\BlasterControl\Blstapp.exe
D:\Programme\Winamp\winampa.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Internet\AntiVir\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\wuauclt.exe
D:\Internet\Avant Browser\avant.exe
D:\Internet\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\czebt.dll/sp.html#33111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\czebt.dll/sp.html#33111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\czebt.dll/sp.html#33111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\czebt.dll/sp.html#33111
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BCMHal] rundll32.exe bcmhalnt.dll,BCInit
O4 - HKLM\..\Run: [BLSTAPP] C:\Programme\Creative\BlasterControl\Blstapp.exe
O4 - HKLM\..\Run: [BCTWEAK] C:\Programme\Creative\BlasterControl\BCTweak.exe -1
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Internet\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [d3lo.exe] C:\WINNT\d3lo.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - D:\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?325



[color="darkred"][/color]

Danke schonmal im voraus!!

#2 Hallo@Schnu83

AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
www.malwarebytes.biz/AboutBuster.zip

AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
http://www.lavasoft.de/support/download/

Lade die killbox:
http://www.bleepingcomputer.com/files/killbox.php

deaktiviere oder deinstalliere deinen Virenscanner (ist wichtig)
und lade:
#eScan-Trial ->noch nicht scannen, erst im abgesicherten Modus
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
_________________________________________________________________

Windows so einstellen, daß alle Dateien angezeigt werden (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren).

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern.
------------------------------------------------------------------------------------------------------------------


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„�õØ´â]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]


------------------------------------------------------------------------------------------------------------------------

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Die Datei fix.reg auf dem Desktop doppelklicken.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\czebt.dll/sp.html#33111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\czebt.dll/sp.html#33111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\czebt.dll/sp.html#33111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\czebt.dll/sp.html#33111
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [VBouncer] C:\PROGRA~1\VBouncer\VirtualBouncer.exe
O4 - HKLM\..\Run: [d3lo.exe] C:\WINNT\d3lo.exe
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?325

Button "Fix checked"

#C:\Windows\Downloaded Programm Files\ -->löschen

#Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\d3lo.exe
C:\WINNT\czebt.dll
C:\Programme\SED\SED.exe
C:\PROGRA~1\VBouncer\VirtualBouncer.exe

PC neustarten und wieder in den abgesicherten Modus gehen.

Loesche alles:
C:\Programme\SED\
C:\PROGRA~1\VBouncer\

scanne mit AbuotBuster, Adaware und
eScan (klicke auf: awn2k3e.exe )

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche:
*.awmdabest.com
*.frame.crazywinnings.com

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
Dann poste das Log noch einmal.
______________________________

Tip:
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @Sabina

Danke schonmal!

Hab aber noch zwei Probleme:

Zum einen ist beim ersten hochfahren des Rechners ,nachdem ich deine Anweisungen befolgt habe, folgende Fehlermeldung aufgetreten: Beim Ausführen von "C:\WINNT\System32\rlgapi.dll,UMonitor" ist eine Ausnahme aufgetreten.

Ist das irgendwas wichtiges oder kann ich´s ignorieren?


Und dann öffnet sich bei mir noch regelmäßig ein Pop-Up-Fenster vom IE mit der Adresse: http://www.ad-w-a-r-e.com/normal/yyy17.html

Kann man da was machen?

Hier die neue Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:29:45, on 15.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\BlasterControl\Blstapp.exe
D:\Programme\Winamp\winampa.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINNT\System32\internat.exe
D:\Programme\Winamp\winamp.exe
D:\Internet\Avant Browser\avant.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\System32\wuauclt.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\WZSE1.TMP\disk_1\setup.exe
D:\Internet\AntiVir\AVWUPSRV.EXE
D:\Internet\AntiVir\AVWIN.EXE
D:\Internet\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BCMHal] rundll32.exe bcmhalnt.dll,BCInit
O4 - HKLM\..\Run: [BLSTAPP] C:\Programme\Creative\BlasterControl\Blstapp.exe
O4 - HKLM\..\Run: [BCTWEAK] C:\Programme\Creative\BlasterControl\BCTweak.exe -1
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Internet\AntiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - D:\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com



MfG
Schnu83

#4 Hallo@Schnu83

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#eScan-Erkennungstool-->lade und alles ausfuehren
http://www.rokop-security.de/board/index.php?showtopic=3867

Escan erkennt einige Dateien vom Hijacker. Mit Hilfe dieser exe und dll :
muss man seinen System32 Ordner nach Datum sortieren lassen und schauen, welches Datum diese Dateien haben. Dort sollten o ca 3-6 Dateien im selben Zeitraum(1 Std.) auftauchen, die man mit Kilbox (delete on reboot) loeschen muss.

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

suche:
diese wirst du auf jeden Fall finden...
<C:\WINDOWS\system32\akcore.dll
<C:\WINDOWS\system32\spOrdner.dll
<C:\WINDOWS\Guard.tmp
<C:\Windows\VT00.exe
<C:\WINDOWS\system32\aklsp.dll
<C:\WINDOWS\system32\akupd.dll

und dann alles andere wie erklaert suchen und loeschen.
Ganz wichtig ist:
<C:\WINDOWS\Guard.tmp
<C:\Windows\VT00.exe

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 @sabina

Hab mal versucht mich durch deine Anweisungen und die von dem Link durch zu arbeiten. Hab wie beschrieben einen EScan durchgeführt und dann folgende dateien mit der killbox gelöscht.
Thu Dec 16 17:36:09 2004 => Scanning File C:\WINNT\System32\akcore.dll
Thu Dec 16 17:36:09 2004 => File C:\WINNT\System32\akcore.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Thu Dec 16 17:37:18 2004 => Scanning File C:\WINNT\System32\h44mleh11h4.dll
Thu Dec 16 17:37:19 2004 => File C:\WINNT\System32\h44mleh11h4.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 17:37:28 2004 => Scanning File C:\WINNT\System32\iJsrad.dll
Thu Dec 16 17:37:28 2004 => File C:\WINNT\System32\iJsrad.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 17:38:44 2004 => Scanning File C:\WINNT\System32\ooffilt.dll
Thu Dec 16 17:38:45 2004 => File C:\WINNT\System32\ooffilt.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 17:39:56 2004 => Scanning File C:\WINNT\System32\wincoreak.dll
Thu Dec 16 17:39:56 2004 => File C:\WINNT\System32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Thu Dec 16 18:12:33 2004 => Scanning File C:\WINNT\System32\akcore.dll
Thu Dec 16 18:12:34 2004 => File C:\WINNT\System32\akcore.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Thu Dec 16 18:13:17 2004 => Scanning File C:\WINNT\System32\h0l2la3o1d.dll
Thu Dec 16 18:13:17 2004 => File C:\WINNT\System32\h0l2la3o1d.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:13:18 2004 => Scanning File C:\WINNT\System32\h44mleh11h4.dll
Thu Dec 16 18:13:18 2004 => File C:\WINNT\System32\h44mleh11h4.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:13:24 2004 => Scanning File C:\WINNT\System32\iJsrad.dll
Thu Dec 16 18:13:24 2004 => File C:\WINNT\System32\iJsrad.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:13:36 2004 => Scanning File C:\WINNT\System32\kvdsg.dll
Thu Dec 16 18:13:37 2004 => File C:\WINNT\System32\kvdsg.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:13:40 2004 => Scanning File C:\WINNT\System32\mac80ex.idf
Thu Dec 16 18:13:40 2004 => File C:\WINNT\System32\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

Thu Dec 16 18:14:05 2004 => Scanning File C:\WINNT\System32\netut80ex.vxd
Thu Dec 16 18:14:05 2004 => File C:\WINNT\System32\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

Thu Dec 16 18:14:15 2004 => Scanning File C:\WINNT\System32\ooffilt.dll
Thu Dec 16 18:14:15 2004 => File C:\WINNT\System32\ooffilt.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:14:22 2004 => Scanning File C:\WINNT\System32\psis80ex.ax
Thu Dec 16 18:14:22 2004 => File C:\WINNT\System32\psis80ex.ax tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

Thu Dec 16 18:14:58 2004 => Scanning File C:\WINNT\System32\wincoreak.dll
Thu Dec 16 18:14:58 2004 => File C:\WINNT\System32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Thu Dec 16 18:16:36 2004 => Scanning File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\akcore.dll
Thu Dec 16 18:16:36 2004 => File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\akcore.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Thu Dec 16 18:16:36 2004 => Scanning File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\akrules.dll
Thu Dec 16 18:16:37 2004 => File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\akrules.dll infected by "TrojanDownloader.Win32.Agent.bt" Virus. Action Taken: File Deleted.

Thu Dec 16 18:23:35 2004 => Scanning File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\nsdtmp09.dll
Thu Dec 16 18:23:36 2004 => File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\nsdtmp09.dll tagged as not-a-virus:AdWare.MetaDirect.a. No Action Taken.

Thu Dec 16 18:24:32 2004 => Scanning File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\temp.fr8765
Thu Dec 16 18:24:33 2004 => File C:\Dokumente und Einstellungen\Christian Bölter\Lokale Einstellungen\Temp\temp.fr8765 tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:39:44 2004 => Scanning File C:\WINNT\system32\akcore.dll
Thu Dec 16 18:39:44 2004 => File C:\WINNT\system32\akcore.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.

Thu Dec 16 18:43:23 2004 => Scanning File C:\WINNT\system32\h0l2la3o1d.dll
Thu Dec 16 18:43:24 2004 => File C:\WINNT\system32\h0l2la3o1d.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:43:24 2004 => Scanning File C:\WINNT\system32\h44mleh11h4.dll
Thu Dec 16 18:43:25 2004 => File C:\WINNT\system32\h44mleh11h4.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:43:31 2004 => Scanning File C:\WINNT\system32\iJsrad.dll
Thu Dec 16 18:43:31 2004 => File C:\WINNT\system32\iJsrad.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:43:43 2004 => Scanning File C:\WINNT\system32\kvdsg.dll
Thu Dec 16 18:43:44 2004 => File C:\WINNT\system32\kvdsg.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:43:47 2004 => Scanning File C:\WINNT\system32\mac80ex.idf
Thu Dec 16 18:43:48 2004 => File C:\WINNT\system32\mac80ex.idf tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

Thu Dec 16 18:44:16 2004 => Scanning File C:\WINNT\system32\netut80ex.vxd
Thu Dec 16 18:44:16 2004 => File C:\WINNT\system32\netut80ex.vxd tagged as not-a-virus:AdWare.BargainBuddy.n. No Action Taken.

Thu Dec 16 18:44:27 2004 => Scanning File C:\WINNT\system32\ooffilt.dll
Thu Dec 16 18:44:28 2004 => File C:\WINNT\system32\ooffilt.dll tagged as not-a-virus:AdWare.Look2Me.u. No Action Taken.

Thu Dec 16 18:44:35 2004 => Scanning File C:\WINNT\system32\psis80ex.ax
Thu Dec 16 18:44:35 2004 => File C:\WINNT\system32\psis80ex.ax tagged as not-a-virus:AdWare.BargainBuddy.l. No Action Taken.

Thu Dec 16 18:45:34 2004 => Scanning File C:\WINNT\system32\wincoreak.dll
Thu Dec 16 18:45:34 2004 => File C:\WINNT\system32\wincoreak.dll tagged as not-a-virus:AdWare.Coreak. No Action Taken.



Deinen dritten Punkt hab ich nicht wirklich verstanden. Ich hab in der Windows Suchfunktion kein Button "Bevorzugte Einstellungen ändern"?????

Desweiteren bekomm ich neurdings manchmal ne Fehlermeldung "Winlogon.exe hat fehler verursacht" woraufhin sich der PC herunterfährt?????

Ich poste nochmal meine neue HijackThis Log File, glaub aber mittlerweile ne NEUINSTALLATION wär angebracht!

Logfile of HijackThis v1.98.2
Scan saved at 20:56:40, on 16.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Internet\EScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
D:\Internet\EScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\BlasterControl\Blstapp.exe
D:\Programme\Winamp\winampa.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Internet\EScan\TRAYICOS.EXE
D:\Internet\EScan\MAILDISP.EXE
D:\Internet\EScan\AVPMWrap.EXE
C:\WINNT\System32\internat.exe
D:\Internet\EScan\SPOOLER.EXE
D:\Internet\EScan\AvpM.exe
D:\Internet\Avant Browser\avant.exe
C:\WINNT\system32\NOTEPAD.EXE
D:\Internet\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BCMHal] rundll32.exe bcmhalnt.dll,BCInit
O4 - HKLM\..\Run: [BLSTAPP] C:\Programme\Creative\BlasterControl\Blstapp.exe
O4 - HKLM\..\Run: [BCTWEAK] C:\Programme\Creative\BlasterControl\BCTweak.exe -1
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Internet\EScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\Internet\EScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\Internet\EScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - D:\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.frame.crazywinnings.com

MfG
Christian

#6 Hallo@Schnu83

C:\WINDOWS\SYSTEM32\winlogon.exe --->eventuell: AdClicker-AI
klicke mal diese exe mit rechtsclick an und poste mir, was du an Eigenschaften findest.
____________________________________________________________________________
#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

Versuch es noch mal mit dem eSCan Trial , ich habe gerade gesehen, dass er neustens C:\WINNT\VT00.exe loescht !!!!

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

klicke auf: awn2k3e.exe

#Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi@Sabina

Die Eigenschaften von "winlogon.exe" scheinen in Ordnung zu sein. Als Beschreibung steht da das es die Windows NT-Anmeldung ist. Einzig die Angaben bei "Erstellt/Geändert/Letzter Zugriff" haben mich verwundert:

Erstellt: 29.11.2004
Geändert: 22.07.2002(????)
Letzter Zugriff: 15.12.2004

-------------------------------------------------------------------------

Den backdoor.agent schein ich mir auch nicht geholt zu haben, sagt zumindest das removal-tool.

--------------------------------------------------------------------------

Ich hab aus dem C:\WINNT\System32\ Ordner einige .dll- und .NLS-Dateien(auch guard.tmp war dabei) mit der Killbox gelöscht.
Außerdem hab ich im REGEDIT auch noch einige Dateien gelöscht.
Seitdem läuft der PC wieder besser, keine "C:\WINNT\System32\rlgapi.dll,UMonitor" oder "Winlogon.exe hat fehler verursacht" Meldungen mehr.

AdAware,Spybot, EScan und McAfee meinen nun endlich auch das der PC sauber ist!!!!

-------------------------------------------------------------------------


Schau dir bitte nochmal meine HijackThis Log an.


Logfile of HijackThis v1.98.2
Scan saved at 20:53:05, on 17.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Internet\EScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
D:\Internet\EScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\BlasterControl\Blstapp.exe
D:\Programme\Winamp\winampa.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Internet\EScan\AVPMWrap.EXE
D:\Internet\EScan\TRAYICOS.EXE
D:\Internet\EScan\MAILDISP.EXE
C:\WINNT\System32\internat.exe
D:\Internet\EScan\SPOOLER.EXE
D:\Internet\EScan\AvpM.exe
D:\Internet\Avant Browser\avant.exe
D:\Programme\Winamp\winamp.exe
D:\Internet\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [BCMHal] rundll32.exe bcmhalnt.dll,BCInit
O4 - HKLM\..\Run: [BLSTAPP] C:\Programme\Creative\BlasterControl\Blstapp.exe
O4 - HKLM\..\Run: [BCTWEAK] C:\Programme\Creative\BlasterControl\BCTweak.exe -1
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Internet\EScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] D:\Internet\EScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [eScan Updater] D:\Internet\EScan\TRAYICOS.EXE /App
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Internet\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Internet\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - D:\Internet\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Internet\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Internet\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4415/mcfscan.cab


MfG
Christian

#8 Hallo@Scnu83

Du bist der 1 User, der diesen Hijacker vom System verbannen konnte (von Threads, die ich kenne) Alle anderen haben neu formatiert.
wie es aussieht, ist die Winlogon.exe nicht so harmlos wie es scheint.

ueberpruefe das bitte:
#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

dann berichte

Und weil du so schoen dabei bist, machst du auch gleich noch die Updates auf SP4

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

und laedst den Browser Firefox.
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi@Sabina

Sowohl der Kaspersky- als auch der Jotti-scan haben haben keinen Virus in meiner WINLOGON.exe gefunden, geh einfach mal davon aus das da nichts ist(oder hast du noch weitere Vorschläge???)
---------------------------------------------------------------------

NT-Dienste sicher konfigurieren hat sich für mich auch erledigt, da ich über einen Router mit NAT ins Netz gehe.

----------------------------------------------------------------------

Den FirFox hab ich mir heruntergeladen und läuft auch!

Vielen Dank für die Hilfe, gibts noch irgendwelche Probleme meld ich mich wieder!!!

MfG
Christian