Habe den TR/DLdr.Agr.dll u. Downloader.ConHook.r u. kriege sie nicht weg!

#1 Hallo an alle,
bin PC mäßig zwar nicht gänzlich unerfahren, verzweifle aber seit gestern. Wir haben den PC von meinem Mann seinem Onkel. Das erste Problem war der Winfixer 2005, den ich wohl dank der Anleitung hier beseitigt gekriegt habe.
Aber seit gestern ist ein neues Problem: wir haben den AntiVir upgedatet und er fand dann das trojanische Pferd TR/DLdr.Agr.dell.
Ich bekam dann heraus, daß er in der Datei: winnt/system32/mljji.dll sitzt.
Nachdem ich dann noch den ewido habe drüberlaufen lassen, kam noch der Downloader.ConHook.r in der selben Datei zum Vorschein.
Habe dann noch Hijack this drüberlaufen lassen, Einträge gefixt und dann noch CounterSpy der auch in der angegebenen Datei Spyware fand.

Jetzt ist das Problem egal, wie oft mit welchem Programm auch immer ich das Ding versuche loszuwerden, es ist nach jedem Systemneustart wieder da!

Bin langsam sehr entnervt, weil es ja auch nicht mein PC ist , aber der Onkel kennt sich Null aus.

So, hier die verschiedenen Logs:

Logfile of HijackThis v1.99.1
Scan saved at 20:14:11, on 11.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Opera\Opera.exe
C:\Programme\ewido\security suite\securitysuite.exe
C:\Dokumente und Einstellungen\UW\Desktop\Sicherheitsprogramme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\mljji.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\ddcyx.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FC43F7E-F860-450F-865C-3EBC2908984E}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CCS\Services\Tcpip\..\{C198F4B0-DB5F-4088-ADC2-4E9C3CF547C7}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: ddcyx - C:\WINNT\system32\ddcyx.dll
O20 - Winlogon Notify: mljji - C:\WINNT\SYSTEM32\mljji.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)

Habe versucht O2 undO20 zu fixen, es geht nicht, ständig springt der Antivir auf und meldet das Trojanische Pferd, gleichzeitig spinnen ewido und counter spy. Komme gar nicht mehr richtig zum schreiben vor lauter Warnungen.

Was tun????

Hier noch die anderen beiden Logs:

Spyware Scan Details
Start Date: 11.12.2005 19:35:12
End Date: 11.12.2005 19:48:14
Total Time: 13 mins 2 secs

Detected spyware

Windows AdTools Adware more information...
Details: Windows AdTools is an ad delivery software which provides targeted advertising offers.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Windows AdTools
HKEY_LOCAL_MACHINE\SOFTWARE\Windows AdTools param 7b646ca5fba70062065adc5ca11c4b19a72098f7fe1fd3d8:3233333634326537343964363630306662653933623233316533323739303865


Trojan.Startup.NameShifter.HN Trojan more information...
Status: Deleted

Infected files detected
c:\winnt\system32\mljji.dll

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:39:25, 11.12.2005
+ Report-Checksumme: E90B11B3

+ Scanergebnis:

HKLM\SOFTWARE\Classes\MSEvents.MSEvents -> Spyware.VirtuMonde : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CLSID -> Spyware.VirtuMonde : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CurVer -> Spyware.VirtuMonde : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents.1 -> Spyware.VirtuMonde : Gesäubert mit Backup
C:\WINNT\system32\mljji.dll -> Downloader.ConHook.r : Gesäubert mit Backup


::Report Ende


11.12.2005,19:51:24 ---------------------------------------------------------
11.12.2005,19:51:24 [INIT] Der AVGuard Service wird gestarted.
11.12.2005,19:51:33 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
11.12.2005,19:53:01 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
11.12.2005,19:53:01 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaa89482.
11.12.2005,19:54:11 [INFO] Start Filter Device.
11.12.2005,19:54:11 [INIT] AntiVirService Version: 6.32.00.12 AVE Version 6.33.0.61 VDF Version: 6.33.0.17
11.12.2005,19:54:12 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
11.12.2005,20:14:11 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agr.dll!
C:\WINNT\SYSTEM32\MLJJI.DLL
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
11.12.2005,20:16:44 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agr.dll!
C:\WINNT\SYSTEM32\MLJJI.DLL
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
usw. so geht das immer weiter.



Bitte dringend um eure Hilfe, sonst machen wir heute abend einfach den PC platt und installieren neu, wenn ihr keine Idee habt.

Danke schon mal.
Viele Grüße, Antje

#2 Hi,
wer Zeit hat:
http://forum.hijackthis.de/showthread.php?t=11985

Hier hat man eine 12seitige Anweisung, wie man dat Dingen runter bekommt.

Hat schon jemand eine kompakte Lösung dazu? Wie isset mit einem update zum letzten Servicepack? Oder eine Reparatur von W2000 mit der Inst-CD?

#3 Im Grunde ist es recht einfach Vundo zu beseitigen. Je nachdem, wie neu diese Variante ist. Eine gute englischsprachige Anleitung dazu gibt es hier:

http://www.bleepingcomputer.com/forums/topic18610.html
__________
MfG Ralf
SEO-Spam Hunter

#4 Hallo ihr beiden

da erst heute eine Antwort kam, haben wir schon vor 3 Tagen den PC platt gemacht und neu installiert, aber trotzdem Danke, weiß es dann für´s nächste Mal :-).

Viele Grüße, Antje

#5 SOwas hoert man gerne. Denke bitte daran, deinen PC abzusichern, damit dir sowas nicht nocheinmal passiert. Ein paar Tips dazu findest du hier:

http://cidres-security.de/neuaufsetzen.html
http://virus-protect.org/systemabsichern.html
__________
MfG Ralf
SEO-Spam Hunter