TR/Click.Agent.HI kann nicht löschen...

#1 Moin

vielleicht könnt ihr mir weiterhelfen.


Mein Antivir piept hier rum und meldet mir, das die Datei
C:\WINDOWS\system32\Pushow13.dll.vir
das Trojanische Pferd TR/Click.Agent.Hi sei.

Aber ich kann das Ding nicht löschen, geschweige denn unbenennen, ignorieren usw., sofort piepts wieder und dieselbe Meldung kommt wieder.
Manuell löschen geht auch nicht.

Lavasoft-Adaware findet nix, Sybot S&D auch nicht.

Habt ihr ne Idee, wie ich das Teil loswerde? Ist mein System jetzt noch sicher?

Grüße,
Arno

#2 arnop

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,


Cleanup hat nix gefunden, nur angeblich 700mB an temporären Dateien gelöscht.

Hier die 4 Dateien:

System32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1470-DE91

Verzeichnis von C:\WINDOWS\system32

26.04.2006 21:40 17.555 nvapps.xml
23.04.2006 21:56 2.206 wpa.dbl
26.03.2006 12:37 40.972 perfc009.dat
26.03.2006 12:37 320.424 perfh007.dat
26.03.2006 12:37 49.372 perfc007.dat
26.03.2006 12:37 314.644 perfh009.dat
26.03.2006 12:37 732.406 PerfStringBackup.INI
26.01.2006 20:36 716.800 divxdec.ax
26.01.2006 20:36 574.976 DivX.dll
26.01.2006 20:35 679.936 divx_xx07.dll
26.01.2006 20:35 679.936 divx_xx0c.dll
26.01.2006 20:35 663.552 divx_xx11.dll
24.01.2006 20:08 12.288 DivXWMPExtType.dll
18.01.2006 14:05 57.344 avsda.dll
09.01.2006 21:32 86.016 dpl100.dll
09.01.2006 21:32 593.920 dpuGUI11.dll
09.01.2006 21:32 200.704 dtu100.dll
09.01.2006 21:32 339.968 dpus11.dll
09.01.2006 21:32 57.344 dpv11.dll
09.01.2006 21:32 294.912 dpu11.dll
09.01.2006 21:32 294.912 dpu10.dll
02.01.2006 18:52 16.832 amcompat.tlb
02.01.2006 18:52 23.392 nscompat.tlb

Systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1470-DE91

Verzeichnis von C:\DOKUME~1\SCHLAU~1\LOKALE~1\Temp

26.04.2006 21:40 16.384 Perflib_Perfdata_260.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 38.121.975.808 Bytes frei

System:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1470-DE91

Verzeichnis von C:\WINDOWS

26.04.2006 21:40 0 0.log
26.04.2006 21:40 2.048 bootstat.dat
26.04.2006 21:39 32.638 SchedLgU.Txt
26.04.2006 19:01 116 NeroDigital.ini
25.04.2006 18:21 54.156 QTFont.qfn
25.04.2006 18:21 1.409 QTFont.for
25.04.2006 15:19 54.589 wmsetup.log
14.04.2006 19:51 8.236 mozver.dat
01.04.2006 19:53 437.547 setupapi.log
01.04.2006 18:02 50 wiaservc.log
01.04.2006 18:02 216 wiadebug.log
30.03.2006 23:18 185 mdm.ini
18.03.2006 17:53 50 cdplayer.ini
12.03.2006 18:52 3.379 nero.INI
23.02.2006 13:17 107.134 UninstallFirefox.exe
05.02.2006 21:04 232 basscad.ini
02.01.2006 18:52 452 wmsetup10.log
02.01.2006 18:52 604 win.ini
02.01.2006 18:52 316.640 WMSysPr9.prx
14.12.2005 19:35 399 Capictrl.INI
05.12.2005 19:11 500 GEARInstall.log
16.11.2005 00:37 253.952 Setup1.exe
16.11.2005 00:37 74.752 ST6UNST.EXE
10.10.2005 19:05 709 CoD.INI


Sys:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1470-DE91

Verzeichnis von C:\

26.04.2006 21:48 0 sys.txt
26.04.2006 21:47 5.364 system.txt
26.04.2006 21:46 308 systemtemp.txt
26.04.2006 21:43 112.267 system32.txt
26.04.2006 21:40 1.610.612.736 pagefile.sys
21.12.2005 19:12 1.889 aaaa.etf
06.11.2005 20:34 0 logwmemory.bin
10.10.2005 13:34 32 csb.log
10.10.2005 12:57 0 IO.SYS
10.10.2005 12:57 0 AUTOEXEC.BAT
10.10.2005 12:57 0 CONFIG.SYS
10.10.2005 12:57 0 MSDOS.SYS
10.10.2005 12:55 194 boot.ini
29.08.2002 02:05 235.296 ntldr
28.08.2002 22:08 47.580 NTDETECT.COM
18.08.2001 14:00 4.952 bootfont.bin
16 Datei(en) 1.611.020.618 Bytes
0 Verzeichnis(se), 38.121.963.520 Bytes frei

So, hier die Hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 21:53:57, on 26.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\AntiVir PersonalEdition Classic\sched.exe
D:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
D:\Eumex 704PC LAN\Capictrl.exe
D:\Eumex 704PC LAN\HNetCtrl.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
D:\Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOpen Silent-Fan AP.lnk = C:\Programme\AOpen\AOpen Silent Fan\openfan.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: pushow13.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Kannst Du damit was anfangen?
Schonmal vielen Dank für deine Hilfe

Arno

#4 arnop

**
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke "yes"
reinkopieren: .....

C:\WINDOWS\system32\Pushow13.dll.vir

PC neustarten

**
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit