TR/Agent.RI auf meinem recnner....

#1 Hallo
ich habe mir vor einigentagen diesen trojaner gefangen.mit meinem latein und antivir binich am ende.
wenn ich jetzt antivir laufen lasse,findet es nichts mehr.allerdings startet mein rechner nur mit hilfe von Strg+Alt+Entf,da er sich beim WILLKOMMEN schon aufhängt.meine sicherheitsprogramme bzw alles was an ser uhr auftauchen soll muss ich extra starten.antivir erscheint erst nach update.
wenn es hilft mein hijack

C:\eigene\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://freemailng1801.web.de/msg/loggedout.htm
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [BeClean Agent] C:\Programme\BeClean\BeCleanA.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{050CFF4E-6FDF-4515-815E-74E4C8E5F665}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AC713B5-4270-4926-9E17-47E7DBEC057D}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A97D1F5-6D62-4DA5-866A-D9964F0B4419}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CCF1D4A-6307-48F1-967B-018C49192301}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C38023B-EF9F-4BAA-AE46-E12A97CC9A78}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{D584703E-CFBD-4E2D-8229-43CB2B6FA962}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.2 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{050CFF4E-6FDF-4515-815E-74E4C8E5F665}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.2 85.255.112.7
O17 - HKLM\System\CS3\Services\Tcpip\..\{050CFF4E-6FDF-4515-815E-74E4C8E5F665}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.2 85.255.112.7
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


bin ein ziemlicher laie deshalb wäre mir ein neuaufspieln ein ziemlicher graus.....
vielen dank für eure hilfe.
gerd

#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> poste das log

4.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten

5.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als list.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.--> die list.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\RXToolBar" >> files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >> files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 danke...
also los gehts....
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0CE-D822

Verzeichnis von C:\WINDOWS\system32

18.07.2006 16:02 25.296 BMXBkpCtrlState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
18.07.2006 16:02 25.296 BMXCtrlState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
18.07.2006 16:02 16.516 BMXStateBkp-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
18.07.2006 16:02 16.516 BMXState-{00000000-00000000-0000000D-00001102-00000002-80651102}.rfx
18.07.2006 16:02 2.064 settingsbkup.sfm
18.07.2006 16:02 2.064 settings.sfm
18.07.2006 16:02 24 DVCState-{00000000-00000000-0000000D-00001102-00000002-80651102}.dat
18.07.2006 16:02 24 DVCStateBkp-{00000000-00000000-0000000D-00001102-00000002-80651102}.dat
16.07.2006 15:01 2.206 wpa.dbl
14.07.2006 18:56 311.604 perfh009.dat
14.07.2006 18:56 39.992 perfc009.dat
14.07.2006 18:56 316.594 perfh007.dat
14.07.2006 18:56 48.156 perfc007.dat
14.07.2006 18:56 723.744 PerfStringBackup.INI
14.07.2006 18:52 202.528 FNTCACHE.DAT
14.06.2006 18:23 57.384 avsda.dll
01.05.2006 21:24 81.920 ElbyCDIO.dll
11.04.2006 21:09 219.136 uxtheme.dll
11.04.2006 21:09 81.152 HAL.DLL
11.04.2006 21:09 61.440 mmcshext.dll
11.04.2006 21:09 33.792 mmcperf.exe
11.04.2006 21:09 1.916.928 mmcndmgr.dll
11.04.2006 21:09 106.496 mmcfxcommon.dll
11.04.2006 21:09 397.312 mmcex.dll
11.04.2006 21:09 169.984 mmcbase.dll
11.04.2006 21:09 184.320 microsoft.managementconsole.dll
11.04.2006 21:09 1.354.240 mmc.exe
11.04.2006 21:09 148.480 cic.dll
11.04.2006 21:09 679.424 inetcomm.dll
11.04.2006 21:08 270.848 oakley.dll
24.03.2006 06:37 49.152 wdigest.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 11.776 xolehlp.dll

FSB

07/18/06 18:42:17 [Info]: BlackLight Engine 1.0.42 initialized
07/18/06 18:42:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/18/06 18:42:17 [Note]: 7019 4
07/18/06 18:42:17 [Note]: 7005 0
07/18/06 18:42:20 [Note]: 7006 0
07/18/06 18:42:20 [Note]: 7011 2528
07/18/06 18:42:20 [Note]: 7026 0
07/18/06 18:42:20 [Note]: 7026 0
07/18/06 18:42:26 [Note]: FSRAW library version 1.7.1019
07/18/06 18:44:38 [Info]: Hidden file: c:\WINDOWS\system32\csckq.exe
07/18/06 18:44:38 [Note]: 7002 32
07/18/06 18:44:38 [Note]: 7003 1
07/18/06 18:44:38 [Note]: 10002 1
07/18/06 18:44:38 [Info]: Hidden file: c:\WINDOWS\system32\dmgzu.exe
07/18/06 18:44:38 [Note]: 10002 1
07/18/06 18:44:47 [Info]: Hidden file: c:\WINDOWS\system32\{1EC3AE60-603E-4481-AE15-CF5B415C378C}.exe
07/18/06 18:44:47 [Note]: 10002 1
07/18/06 18:46:39 [Note]: 7007 0

Fixwareout Report

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F633D978033-CB89-D394-6245-CD120836{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1C7B5F5B12B8-914A-F5F4-8F8B-48F37429{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}34A3186F2ECB-5A59-2A34-49DF-A9FAE176{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C873C514B5FC-51EA-1844-E306-06EA3CE1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}821B1778B7E1-BEDA-1C44-B00D-A3D9A5B1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4733C802D5D5-D56A-7764-6F01-A9581574{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F973538CA96D-F16B-06E4-60A8-037099F8{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}097E075A051E-B4E8-2B74-0A25-36D82321{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3C9A8FB196F8-2889-51E4-C8B7-4FCF318D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}54237DF0CCB3-91E8-0A64-5792-F6AA0CD0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\uzgmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

list,bat auf desktop

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0CE-D822

Verzeichnis von C:\Programme\RXToolBar

16.10.2005 12:32 <DIR> .
16.10.2005 12:32 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.308.593.664 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0CE-D822

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

26.05.2006 14:00 <DIR> .
26.05.2006 14:00 <DIR> ..
09.06.2004 19:07 <DIR> 1031
09.06.2004 19:06 <DIR> 1033
14.02.2001 21:45 1.318.912 MSONSEXT.DLL
13.02.2001 00:23 58.784 MSOSV.DLL
19.03.1999 23:46 127.032 MSOWS407.DLL
04.06.1999 16:09 122.937 MSOWS409.DLL
06.08.2000 09:04 401.462 MSVCP60.DLL
22.01.2001 03:25 69.632 PKMAXCTL.DLL
22.01.2001 03:25 872.448 PKMCDO.DLL
22.01.2001 03:25 159.744 PKMCORE.DLL
07.02.2001 09:59 106.496 PKMFORMS.DLL
12.02.2001 04:01 692.224 PKMRES.DLL
22.01.2001 03:25 28.672 PKMSSTLB.DLL
22.01.2001 03:25 40.960 PKMTEMPL.DLL
22.01.2001 03:25 24.576 PKMTRACE.DLL
22.01.2001 03:25 86.016 PKMWS.DLL
22.01.2001 03:25 237.568 PROMDEMO.DLL
22.01.2001 03:25 184.320 SECMGR.DLL
22.01.2001 03:25 323.584 VAIDDMGR.DLL
22.01.2001 03:25 32.768 VAIMEM.DLL
18 Datei(en) 4.888.135 Bytes
4 Verzeichnis(se), 6.308.589.568 Bytes frei

#4 1.
Pocket KillBox
http://virus-protect.org/killbox.html
Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ...

C:\WINDOWS\balloon.wav
C:\WINDOWS\rdt.ini
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe


2.
PC neustarten - in den abgesicherten modus-> F8 druecken, wenn der Rechner hochfehrt

---------------------------------------------------------------------------------------

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -lasse hijackThis geoeffnet

Zitat

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{050CFF4E-6FDF-4515-815E-74E4C8E5F665}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AC713B5-4270-4926-9E17-47E7DBEC057D}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A97D1F5-6D62-4DA5-866A-D9964F0B4419}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CCF1D4A-6307-48F1-967B-018C49192301}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C38023B-EF9F-4BAA-AE46-E12A97CC9A78}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{D584703E-CFBD-4E2D-8229-43CB2B6FA962}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.2 85.255.112.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{050CFF4E-6FDF-4515-815E-74E4C8E5F665}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.2 85.255.112.7
O17 - HKLM\System\CS3\Services\Tcpip\..\{050CFF4E-6FDF-4515-815E-74E4C8E5F665}: NameServer = 85.255.115.2,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.2 85.255.112.7

4.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen [scan --> next none auf rename ändern]
Dann lass Blacklight den Rechner neu starten.

**

5.
boote wieder in den Normalmodus und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#5 morgen...
entschuldige das ich mich jetz erst melde.
ich hatte alles so befolgt wie beschrieben.da ich aber nicht weiss wie man Malware erkennt ging dann die sache nach hinten los und ich bin nicht mehr ins netz gekommen.
habe mir jetz ein neues system aufgespielt und nun ist auch wieder gut.
vielen dank für eure zeit und hilfe.
köönt ihr mir noch einen tip geben für einen vernünftige firewall und antivirenprogramm?
z.Z.
firewall von SP
Antivir.....