Trojaner TRAgent/KT; TRAgent BQL; Startpage

#1 Hallo!
Zunächst muss ich protecus mal loben, die Foren hier kann man als Laie wenigstens
halbwegs verstehen. So kam ich jetzt auch zu Adaware, Spybot u. HighjackThis! Ich hatte dann nach der autom. Auswertung und dem Fixen anschließend erstmal Ruhe und dachte die Plagegeister wären verschwunden.

Nun aber spielt Antivir (meldet inf. Dateien in der System Volume Information) wieder verrückt. Vermute die Problems beginnen immer wenn ich mit dem MS Internet Explorer arbeite (den ich leider benötige).

Wer kann mir weiterhelfen, ist nnoch was zu retten? Bin völlig entnervt.
Anbei mein heutiger highjacklog.

Im voraus schon mal vielen Dank!!!!

Logfile of HijackThis v1.99.1
Scan saved at 13:34:30, on 26.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sicherheit\Antivir\AVGUARD.EXE
C:\Programme\Sicherheit\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\WebDeSync\WebDeSyncTray.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Sicherheit\Antivir\AVGNT.EXE
C:\Programme\Sicherheit\Antivir\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Verzeichis_HijackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [WEB.DE Sync - WebDeSync] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\WebDeSync\WebDeSyncTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Sicherheit\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Sicherheit\Antivir\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/148dc8ac918f4840d616/netzip/RdxIE601_de.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Sicherheit\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Sicherheit\Antivir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe
O23 - Service: Network Security Service (�%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\atlsa.exe (file missing)

#2 Hallo DrEx,

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften).

Scanne mit HighjackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O23 - Service: Network Security Service (��%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\atlsa.exe (file missing)

Rechner neu starten

Suche mit dem Win Explorer die Datei (falls vorhanden) C:\WINDOWS\system32\atlsa.exe
und lösche sie.

RegCleaner
http://www.chip.de/downloads/c_downloads_8830516.html
Lade das Programm, wähle "Deutsch" als Sprache und säubere die Registry mit Tools => Registry säubern => alles durchführen => alle gefundenen Objekte markieren => markierte entfernen (Du kannst alles Angezeigte löschen, denn es das Programm legt eine Sicherung an, die später bei evtl. Problemen wiederhergestellt werden kann)

Systemwiederherstellung wieder aktivieren. Dann sollten Deine Probleme behoben sein.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Tja was soll ich sagen,

seit heute morgen sitz ich nun schon am pc und es scheint keine probleme mehr zu
geben!

Gelobt sei Heron, du hast wirklich was drauf!

Manchmal schae das mit der anonymität und den nicks, du hättest n paar grosse
biere verdient. trink trotzdem eins, zwei (natürlich nur wenn du alk magst)!

beste grüsse und nochmals 1000dank!

#4 Bin eigentlich Weintrinker!

Wenn Du den Trojaner im System Volume hattest, so kann es durchaus sein, dass Antivir ihn zwar gelöscht hat, aber noch andere Malware sich auf Deinem Rechner befindet.

Deshalb würde ich noch empfehlen:
eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)

Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen). Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 Hi Heron, hoff es geht dir gut!

hab deine empfehlung in die tat umgesetzt, hat ganz schön lang gedauert der escan, 2:43 puuh! hatte dabei genug zeit darüber zu grübeln was du wohl für einen wein trinkst?

anbei meine logdaten, warte auf antwort und bedanke mich wie immer im voraus!

Mon Feb 28 19:41:41 2005 => File C:\WINDOWS\System32\eg_auth_mut02.dll infected by "Trojan.Win32.P2E.ax" Virus. Action Taken: No Action Taken.

Mon Feb 28 19:47:25 2005 => File C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\temp.fr8F87 infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Mon Feb 28 20:15:55 2005 => File C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\KM_1.17b_setup.exe infected by "not-a-virus:AdWare.BHO.NoName.e" Virus. Action Taken: No Action Taken.

Mon Feb 28 20:19:05 2005 => File C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Verzeichis_HijackThis\backups\backup-20050224-225804-358.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.

Mon Feb 28 20:19:08 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Verzeichis_HijackThis\INFECTED\*.*

Mon Feb 28 20:23:10 2005 => File C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\temp.fr8F87 infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Mon Feb 28 20:31:03 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Feb 28 20:31:03 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Feb 28 21:18:54 2005 => Scanning Folder C:\Programme\Sicherheit\Antivir\INFECTED\*.*

Mon Feb 28 21:18:54 2005 => Scanning File C:\Programme\Sicherheit\Antivir\INFECTED\A0035803.EXE.VIR

Mon Feb 28 21:18:55 2005 => File C:\Programme\Sicherheit\Antivir\INFECTED\A0035803.EXE.VIR infected by "Trojan.Win32.StartPage.up" Virus. Action Taken: No Action Taken.

Mon Feb 28 21:18:55 2005 => Scanning File C:\Programme\Sicherheit\Antivir\INFECTED\A0045005.EXE.VIR

Mon Feb 28 21:18:55 2005 => File C:\Programme\Sicherheit\Antivir\INFECTED\A0045005.EXE.VIR infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.

Mon Feb 28 21:30:29 2005 => File C:\WINDOWS\crlq32.dll infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Feb 28 21:52:52 2005 => File C:\WINDOWS\system32\eg_auth_mut02.dll infected by "Trojan.Win32.P2E.ax" Virus. Action Taken: No Action Taken.

Mon Feb 28 21:58:33 2005 => File C:\WINDOWS\crlq32.dll infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Feb 28 22:20:39 2005 => File C:\WINDOWS\system32\eg_auth_mut02.dll infected by "Trojan.Win32.P2E.ax" Virus. Action Taken: No Action Taken.

Mon Feb 28 22:23:50 2005 => ***** Scanning complete. *****

Mon Feb 28 22:23:50 2005 => Total Files Scanned: 77044
Mon Feb 28 22:23:50 2005 => Total Virus(es) Found: 16
Mon Feb 28 22:23:50 2005 => Total Disinfected Files: 0
Mon Feb 28 22:23:50 2005 => Total Files Renamed: 0
Mon Feb 28 22:23:50 2005 => Total Deleted Files: 0
Mon Feb 28 22:23:50 2005 => Total Errors: 8
Mon Feb 28 22:23:50 2005 => Time Elapsed: 02:43:32
Mon Feb 28 22:23:50 2005 => Virus Database Date: 2005/02/25
Mon Feb 28 22:23:50 2005 => Virus Database Count: 119374

Mon Feb 28 22:23:50 2005 => Scan Completed.

#6 Habe ich doch recht vermutet!

Lade Dir herunter
ClearProg 1.4.1
http://www.clearprog.de/downloads.php
Surfspuren löschen. Alle Kategorien unter Internetexplorer und Windows im rechten Fenster ankreuzen und "Löschen" drücken.

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die von eScan gefundenen "infected" Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten.
Brauchst Du nicht zu löschen:
Mon Feb 28 20:19:08 2005 => Scanning Folder: C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Verzeichis_HijackThis\INFECTED\*.*
Mon Feb 28 20:31:03 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Feb 28 21:18:54 2005 => Scanning Folder C:\Programme\Sicherheit\Antivir\INFECTED\*.*
das sind Programmordner von HJT bzw. Antivir!

Überprüfe, ob die Dateien gelöscht worden sind.

Erneut mit eScan im abgsicherten Modus scannen und evtl. noch gefundene Dateien löschen.

Aktuelles HJT Log erstellen und posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 Hallo Heron,

hab alles so gemacht wie empfohlen, nachfolgend hj log:

Scan saved at 14:56:56, on 01.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sicherheit\Antivir\AVGUARD.EXE
C:\Programme\Sicherheit\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\WebDeSync\WebDeSyncTray.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Sicherheit\Antivir\AVGNT.EXE
C:\Programme\Sicherheit\Antivir\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Verzeichis_HijackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [WEB.DE Sync - WebDeSync] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\WebDeSync\WebDeSyncTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Sicherheit\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Sicherheit\Antivir\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/148dc8ac918f4840d616/netzip/RdxIE601_de.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Sicherheit\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Sicherheit\Antivir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

wie immer schon mal 1000dank für dein auswertung und mühe!!!

#8 Das Log ist soweit sauber.

Da sind allerdings noch zwei unbekannte Prozesse:
C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\WebDeSync\WebDeSyncTray.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE

Solltest Du die Programme nicht wissentlich installiert haben, dann fixe mit HJT
O4 - HKLM\..\Run: [WEB.DE Sync - WebDeSync] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\WebDeSync\WebDeSyncTray.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR

und lösche die beiden .exe Dateien nach dem Rechnerneustart mit der Killbox.

Das war's

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#9 Hallo,
ich kann mich nur wiederholen, dein hilfe ist echt super und mittlerweile hab ich
auch ein wenig von den unendlichen tiefen meines pc verstehen gelernt!

Die letzten angegebenen dateien sind mir bekannt und nun müsste mit der Kiste
wohl wieder alles ok sein.

nochmals danke Heron und wer weiss vielleicht hören wir ja wieder mal voneinander
hauptsache es hat nicht mit nem virus oder ähnlichem zu tun, hehe.

werde protecus und vor allem dich, gerne weiter empfehlen!
mach weiter so

gruss
DrEx