Wie bekomme ich den Trojaner Dldr.Agent wieder weg?

#0
17.12.2004, 13:55
...neu hier

Beiträge: 6
#1 Habe mit den gängigen Tools schon alles versucht.Auch mit Lofile von HijackThis,alles vergebens.Würde gerne um eine Neuinstallation vorbei kommen und wäre für jede Hilfe dankbar.
Hier mein Logfile
Logfile of HijackThis v1.98.2
Scan saved at 12:54:42, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp1\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C74EE4E0-7821-6A4A-65E2-38C5FEA0CDEB} - C:\WINDOWS\system32\javape.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\System32\9C94AE~1.DLL/MENUSEARCH.HTM
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
Seitenanfang Seitenende
17.12.2004, 14:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {C74EE4E0-7821-6A4A-65E2-38C5FEA0CDEB} - C:\WINDOWS\system32\javape.dll
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\System32\9C94AE~1.DLL/MENUSEARCH.HTM
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com

PC neustarten

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\System32\9C94AE~1.DLL
C:\WINDOWS\System32\9C94AE~1.DLL/MENUSEARCH.HTM
C:\WINDOWS\system32\javape.dll

neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#eScan-Erkennungstool -->entpacke und update wie beschrieben
http://www.rokop-security.de/board/index.php?showtopic=3867

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#scanne mit Antivirus im abgesicherten Modus


#und danach den Scanner eScan mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten
, bzw
die Dateien im abgesicherten Modus loeschen

Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche (komplett)
*.frame.crazywinnings.com
*.static.topconverting.com

Dann poste das neue Log.
HijackThis/1.99 BETA Version

Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.12.2004 um 14:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.12.2004, 21:47
...neu hier

Themenstarter

Beiträge: 6
#3 Erst einmal vielen Dank für Deine Hilfe.
Ich habe versucht das alles wie vorgegeben hinzubekommen.
Die Warnungen von Antivirus bleiben jetzt beim starten vom Internet Explorer auch aus.Echt super!
Hier ist das neue Log,aber wie glaube noch mit kleinen"Fehlern".
Kannst Du mir noch einmal antworten?
Danke
Logfile of HijackThis v1.99.0
Scan saved at 21:35:54, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp2\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Seitenanfang Seitenende
17.12.2004, 23:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@tom761

1.gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

2.konfiguriere Antivirus:
"alle Dateien"
Heuristik: mittel

3.und mache ein Komplettscann

4.Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche (komplett)
*.frame.crazywinnings.com
*.static.topconverting.com

(poste dann bitte das Scanlog) und das HijackThis.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.12.2004 um 23:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.12.2004, 21:49
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina,nach dem konfigurieren von Antivirus hat dieser noch eine Menge gefunden.Scheint auch alles wieder in Ordnung zu sein,nur diese 2 Einträge *.frame.crazywinnings.com
*.static.topconverting.com

lassen sich einfach nicht entfernen und tauchen im Logfile immer wieder auf
Habe diese 2Einträge schon beim letzen Mal im Ordner :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche (komplett)

gelöscht.In diesem Ordner sind sie auch nicht mehr zu sehen,nur wie gesagt im Logfile.
Logfile of HijackThis v1.99.0
Scan saved at 11:40:33, on 18.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp4\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
18.12.2004, 22:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@tom761

(poste dann bitte das Scanlog vom Antivirus)

(denn da wird wahrscheinlich was angezeigt, was zwar erkannt, aber NICHT geloescht wurde)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.12.2004 um 22:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.12.2004, 22:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@tom761

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Gehe in die Registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\

loesche den kompletten Schluessel:
*.frame.crazywinnings.com
*.static.topconverting.com

schliesse die Registry und starte neu.

dann berichte, ob die 015-Eintraege im HijackThis noch erscheinen.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.12.2004 um 22:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.12.2004, 23:23
...neu hier

Themenstarter

Beiträge: 6
#8 Hallo Sabina
Habe XP Wiederherstellung deaktiviert.
Ich habe noch einmal nachgesehen,aber in der Registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
ist der Schlüssel
*.frame.crazywinnings.com
*.static.topconverting.com
nicht mehr vorhanden!Ich hatte ihn schon beim letzten Mal gelöscht und er ist dort nicht wieder aufgetaucht.
Aber leider auch jetzt noch im HijackThis.
Gruß
Thomas
Seitenanfang Seitenende
18.12.2004, 23:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Ich verstehe das nicht.

o.k.

Lade:
Giant-Antispyscanner [15 Tage free]
http://www.giantcompany.com/(lfkvww55pduddm45u110ti45)/download.aspx?skip=true&prodID=70

#Ad-aware SE Personal 1.05 Updated-->poste dann das Log vom Scann
http://fileforum.betanews.com/detail/965718306/1

Gehe in den abgesicherten Modus und scanne mit den 2 Tools
Scanne auch noch mal mit Antivirus (update ihn vorher auf den neusten Stand)und berichte, ob noch was geloescht wurde.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.12.2004, 01:48
...neu hier

Themenstarter

Beiträge: 6
#10 Danke,ich glaube Du hast es geschafft!
Ad-aware hat noch was gefunden:
Troj-Agent.BIHKEY_LOCAL_Maschine/Software/Regkey
Troj-Agent.BIHKEY_LOCAL_Maschine/Software/RegValue
Habe alles gelöscht und die 015 Einträge sind weg,siehe Anhang

Logfile of HijackThis v1.99.0
Scan saved at 01:39:57, on 19.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\BENUTZ~1\LOKALE~1\Temp\tmp4\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Seitenanfang Seitenende
19.12.2004, 12:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@tom761

Wunderbar ;)
Alles Gute fuer dich + PC

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.12.2004 um 12:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.12.2004, 13:37
...neu hier

Themenstarter

Beiträge: 6
#12 Hallo Sabina,ohne Deine Hilfe hätte ich wohl alles formatieren müssen.
Also nochmals vielen,vielen Dank

Thomas
Ps..Den Browser Firefox habe ich schon im Einsatz
Seitenanfang Seitenende