TR/Dldr.VBS.Ps.Ac.4 Trojan DownloaderWin 32.Agent.fy HILFE

#1 Hallo,
Habe seit 3 Tagen dieses Prob.Werde noch verrückt .Habe gelöscht ,gescannt Immer wieder kommt das Ding nach dem Neustart.
Was muss ich tun ????????
Bin leider nicht soo fit bin in Sachen PC.
Hier mein HJT Log.

Logfile of HijackThis v1.99.0
Scan saved at 19:53:01, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\E_S00RP2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\SPMSMON.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\alg.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096704302375
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

Schon mal Danke im voraus

#2 Hallo@GERDEL

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Ad-aware SE Personal 1.05 Updated-->scanne und berichte, was geloescht wurde
http://fileforum.betanews.com/detail/965718306/1

Backdoor.Agent.B Removal Tool-->scanne und berichte
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

1)lade rem.zip-->noch nichts machen...erst im abgesicherten Modus
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

#AboutBuster--<entpacken und updaten, aber erst im abgesicherten Modus scannen

1) Download the tool About:Buster created by Rubber Ducky. (Download here)
http://zerosrealm.com/index.php?page=dllfix

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->>

O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net

Button "Fix checked" -->> PC neustarten (in den abgesicherten Modus gehen
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
Click:Temporäre Dateien, o.k

#Scanne mit: AboutBuster

Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\ZoneMap\Domains
loesche (komplett)
*.63.219.181.7
*.search-soft.net

#öffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles , lasse nur stehen:
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.

**

http://www.trojaner-board.de/showthread.php?t=10856
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @ Sabina
Hallo, hier nun der neue HJT log.

Logfile of HijackThis v1.99.0
Scan saved at 14:59:23, on 20.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\E_S00RP2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096704302375
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

und der log,txt

Microsoft Windows XP [Version 5.1.2600]
C:\WINDOWS\system32
"Files found"
---------------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

-----------------------------------------------------------------

Done

Das Ding ist immer noch da.Wenn ichs in Quarantäne verschiebe kommt keine Meldung mehr. Wehe aber ich starte neu und klicke auf den IE dann wie mit Zauberhand "PLING" hier bin ich wieder. Schluchzzz.
Habe glaub ich die den ganzen Ordner "Domains" gelöscht ist das schlimm

#4 Und auch noch Escan Log

Dec 20 15:19:41 2004 => File C:\WINDOWS\system32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Mon Dec 20 15:19:41 2004 => File C:\WINDOWS\system32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Mon Dec 20 15:19:41 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\taskopen.exe (which is infected)!
Mon Dec 20 15:19:41 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\taskopen.exe deleted because it is infected by a Virus
Mon Dec 20 15:19:42 2004 => File C:\WINDOWS\system32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: File Deleted.
Mon Dec 20 15:19:42 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce has RunningProcess defined as C:\WINDOWS\system32\qappsrvc32.exe (which is infected)!
Mon Dec 20 15:19:42 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\qappsrvc32.exe deleted because it is infected by a Virus
Mon Dec 20 15:46:11 2004 => File C:\WINDOWS\system32\dnsauth.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: File Deleted.
Mon Dec 20 15:46:28 2004 => File C:\WINDOWS\system32\dx9vbc.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: File Deleted.
Mon Dec 20 15:46:36 2004 => File C:\WINDOWS\system32\hdon.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Mon Dec 20 15:46:36 2004 => File C:\WINDOWS\system32\hdxw.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Mon Dec 20 15:46:39 2004 => File C:\WINDOWS\system32\iecust.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted.

Mon Dec 20 15:46:39 2004 => Scanning File C:\WINDOWS\system32\iecust.exe
Mon Dec 20 15:46:39 2004 => File C:\WINDOWS\system32\iecust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: File Deleted.
Mon Dec 20 15:53:28 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Dec 20 15:53:28 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSFG.DLL.VIR
Mon Dec 20 15:53:29 2004 => File C:\Programme\AVPersonal\INFECTED\MSFG.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: File Deleted.

Mon Dec 20 15:53:29 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSJK.DLL.VIR
Mon Dec 20 15:53:29 2004 => File C:\Programme\AVPersonal\INFECTED\MSJK.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: File Deleted.

#5 Loesche alles mit der Killbox:

KillBox
http://www.bleepingcomputer.com/files/killbox.php
geh auf
<Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\taskopen.exe
C:\WINDOWS\system32\qappsrvc32.exe
C:\WINDOWS\system32\dnsauth.dll
C:\WINDOWS\system32\dx9vbc.dll
C:\WINDOWS\system32\hdon.dll
C:\WINDOWS\system32\hdxw.dll
C:\WINDOWS\system32\iecust.dll
C:\WINDOWS\system32\iecust.exe

schau, ob die Killbox die Daten akzeptiert...wenn ja, sind sie noch vorhanden, dann boote neu und berichte (scanne noch mal mit eScan)

und scanne mit:
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
poste auch hier das Scan-Log .
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo Sabina,
der Scan mit Killbox brachte folgendes.
Pending File Rename Operations Registry Data has been Removed by External Process.
unregister .dll before deleting war nicht mögl.

Ad-ware se brachte auch keine Warnungen
hier mein neuester
HJT LOG
Logfile of HijackThis v1.99.0
Scan saved at 12:02:08, on 21.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\E_S00RP2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096704302375
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

#7 Hallo@Gerdel

Scanne bitte mit dem Antivirus im abgesicherten Modus und poste mir das Scannlog
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hi Sabina ,
hier der Report von AntiVir
Erstellungsdatum der Reportdatei: Dienstag, 21. Dezember 2004 13:43

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.26 (0) vom 21.12.2004


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 94651 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: user
Prozessor: Pentium
Arbeitsspeicher: 523628 KB frei

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVEWIN32.DLL : v6.29.0.5 782848 19.12.2004 11:42:10
AVGNT.EXE : v6.28.00.02 127016 08.11.2004 08:12:44
AVGUARD.EXE : v6.29.00.03 241704 17.11.2004 14:44:04
GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 08:10:44
AVGCMSG.DLL : v6.28.00.02 266280 08.11.2004 08:12:44
AVGNTDD.SYS : v6.29.00.02 32560 10.12.2004 12:46:28
AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46
AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42
AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14
AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42
AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42
AVRep.DLL : v6.29.00.26 827432 21.12.2004 12:56:06
INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52
INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52
CTL3D32.DLL : v2.31.000 27136 29.08.2002 13:00:00
MFC42.DLL : v6.02.4131.0 1028096 04.08.2004 00:57:24
MSVCRT.DLL : v7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : v7.0.2600.2180 343040 04.08.2004 00:57:30
CTL3DV2.DLL : v2.31.000 27632 03.09.1997 23:00:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: Selbsttest

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\user\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Systemdateien
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK

lg Gerdel

#9 Hallo@GERDEL

na also....alles sauber

stelle in Zukunft im Antivirus ein: Alle Dateien

ich bin ein bischen baff, den der eScan loescht normalerweise nicht, sondern diese Version zeigt nur an....aber ich habe gesehen, dass alles brav geloescht wurde
Ob die das wieder veraendert haben ?
Hast du den eScan von der Site geladen, die ich dir gepostet hatte ???

Gruss
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina
Ist wirklich alles OK ?
Juhuuu und Freu !!

Escan war glaub ich irgend ne ältere Version die ich upgedatet habe.
weiß nicht genau hab in den Letzten Tagen Downgeloaded ohne ENDE.
Solche Dinger versetzen mich immer in Panik.
Machts was aus dass ich den Ordner Domains aus versehen ganz gelöscht habe?

Erstmal 1000 Dank für deine Kompetente Hilfe
Liebe Grüße aus der Fränk.Schweiz

Gerdel

#11 wo hast du denn den Escan geladen ?

Die Domains sind kein Problem...hast du auch gleich die ganze Malware mitgeloescht.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hi ,
Müsste
ftp://mwti.matrix.lv/downloads/tools/
gewesen sein

Nochmals Danke für deine Hilfe
und viele Grüße

#13 Hallo@Gerdel

der Link funktioniert leider nicht
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina ,
Kann Dir diese mwav zip Datei auch zumailen wenn du möchtest.

lg
Gerdel

#15 nun ja...ich will sie ja nicht fuer mich ..ich brauche den Link fuer andere User
__________
MfG Sabina

rund um die PC-Sicherheit