Infizierte shdocvw.dll von Kaspersky gelöscht, suche Rat

#1 Erstmal Hallo!!!
Der Laptop meines Vaters hat folgendes Problem: Da die Nortonlizenz abgelaufen ist, haben wir erstmal Norton Antivirus komplett deinstalliert und anschließend Kaspersky Internet Security 6.0 draufinstalliert, lief alles problemlos. Jetzt hat aber Kaspersky festgestellt ,dass die Datei shdocvw.dll irreparabel mit einem Trojaner namens Constructor.Win32.Agent.u infiziert ist und auch gleich gelöscht. Nach dem vom Programm gewünschten Neustart startet der Rechner zwar, jedoch ist die gesamte Taskleiste und der gesamte Desktop weg. Das Einzige was noch funktioniert ist der Task-Manager. Über ihn konnte ich Kaspersky aufrufen und die Datei wiederherstellen und tja alles funktioniert wieder, aber der Trojaner ist noch weiterhin drauf. Deswegen meine Frage: Kann man die Datei einfach löschen und sie durch die gleiche Datei von einem anderen Rechner ersetzen???
Bitte entschuldigt meine Frage (und auch die Länge meines Postings) aber bevor ich irgendwelchen Schaden anrichte, frag' ich doch lieber die Experten ;D.
DANKE schonmal im Voraus für die Hilfe.
Kleiner Nachtrag: So wie es aussieht lässt mich Kaspersky auf dem Laptop weder Dateien von Speichermedien kopieren noch ins Internet, sprich ich kann Hijackthis usw. auf dem Laptop nicht draufmachen und keine Logs posten . Auch nicht einmal wenn ich Kaspersky abstelle.

#2 M.D. Geist

am besten wende dich damit direkt an Kaspersky (berichte dann, wenn moeglich)
http://forum.kaspersky.com/index.php?showforum=27
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für den Tip, aber so wie es aussieht bin ich nicht der Einzige mit Kaspersky, der dieses Problem hat.
http://forum.kaspersky.com/index.php?showtopic=32322
Jetzt heißt es wohl oder übel warten ! Weißt du sonst noch Rat???

Nachtrag: Hab' jetzt versucht Hijackthis und Datfinbat im abgesicherten Modus auf dem Laptop zu laden, mit Erfolg. Hier die Logs:

Logfile of HijackThis v1.99.1
Scan saved at 11:54:40, on 18.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q304&bd=pavilion&pf=laptop
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hier die Logs von Datfindbat:

Verzeichnis von c:\

18.02.2007 11:54 0 dirdat.txt
18.02.2007 11:49 535.875.584 hiberfil.sys
18.02.2007 11:49 805.306.368 pagefile.sys
19.09.2006 16:35 627 hpfr3425.log

Verzeichnis von C:\WINDOWS\system32

17.02.2007 15:35 1.339.904 SHDOCVW.dll
15.02.2007 19:46 1.158 wpa.dbl
23.11.2006 21:05 380.684 perfh009.dat
23.11.2006 21:05 53.098 perfc009.dat
23.11.2006 21:05 391.574 perfh007.dat
23.11.2006 21:05 63.976 perfc007.dat
23.11.2006 21:05 897.778 PerfStringBackup.INI
23.11.2006 19:51 1.392.671 msvbvm60.dll

Verzeichnis von C:\WINDOWS

18.02.2007 11:51 28.961 hpoins03.dat
18.02.2007 11:50 0 0.log
18.02.2007 11:50 159 wiadebug.log
18.02.2007 11:50 50 wiaservc.log
18.02.2007 11:49 2.048 bootstat.dat
18.02.2007 11:49 144.842 ntbtlog.txt
18.02.2007 11:38 32.572 SchedLgU.Txt
17.02.2007 15:35 2.026.608 setupapi.log
17.02.2007 14:39 840 win.ini
17.11.2006 16:37 3.828 ModemLog_Agere Systems AC'97 Modem.txt

Verzeichnis von C:\DOKUME~1\GERARD~1\LOKALE~1\Temp

18.02.2007 11:50 533 pcf1.tmp
18.02.2007 11:50 220 jusched.log
18.02.2007 11:49 931 _isdelet.ini
3 Datei(en) 1.684 Bytes
0 Verzeichnis(se), 46.139.772.928 Bytes frei
Unter Windows/Temp und Down war nichts

Hoffe das hilft weiter.
DANKE!

#4 das beste ist, erst mal eine Systemwiederherstellung zu machen (auf einen Tag vor dem Kaspersky)

Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte.

»»
dann poste hier das log vom HijacktHIS
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Meinst du Kaspersky ist für alles verantwortlich??? Wie im ersten Beitrag schon geschrieben, wir hatten früher Norton auf dem Laptop und der hat sich nie über etwas beschwert. Schon komisch...

#6 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\SHDOCVW.dll

poste hier den report
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier der Report:
STATUS: FINISHEDComplete scanning result of "SHDOCVW.dll", received in VirusTotal at 02.18.2007, 13:13:40 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.37 02.17.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.18.2007 no virus found
AVG 386 02.17.2007 no virus found
BitDefender 7.2 02.18.2007 no virus found
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.18.2007 no virus found
DrWeb 4.33 02.18.2007 no virus found
eSafe 7.0.14.0 02.18.2007 no virus found
eTrust-Vet 30.4.3410 02.18.2007 no virus found
Ewido 4.0 02.18.2007 no virus found
Fortinet 2.85.0.0 02.18.2007 W32/Agent.U!kit
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 no virus found
Ikarus T3.1.0.31 02.18.2007 no virus found
Kaspersky 4.0.2.24 02.18.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.18.2007 no virus found
NOD32v2 2068 02.18.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.17.2007 no virus found
Prevx1 V2 02.18.2007 no virus found
Sophos 4.14.0 02.18.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.18.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 no virus found
VirusBuster 4.3.19:9 02.17.2007 no virus found


Aditional Information
File size: 1339904 bytes
MD5: 4f56cc02566391bd3e673318cb9509de
SHA1: 7cbfe9d376874ecc5cc293abc2b18c753604707d

#8 da kaspersky sich mit deinem System anscheinend nicht "vertraegt" - mache also die Systemwiederherstellung oder deinstalliere ihn.
dann berichte, ob wieder alles normal laeuft .
dann denken wir ueber einen anderen Virenschutz nach
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Also im Grunde läuft der Laptop mit Kaspersky ja problemlos, wenn er nicht die ganannte Datei als "infiziert" bezeichnen würde. Was mich wundert Kaspersky hat beim Obigen Test nichts gefunden, nur Fortinet fand da diesen W32/Agent.U!kit. Vielleicht sollte ich erstmal ein Update von Kaspersky versuchen, dann evtl. noch die vorgeschlagene Systemwiederherstellung.
Ach was ich noch fragen wollte, lässt sich aus den geposteten Logs auch nichts erkennen???

#10 ausser dieser dll, die erst neu aufs System gekommen ist, habe ich nichts weiter gefunden.

Verzeichnis von C:\WINDOWS\system32
17.02.2007 15:35 1.339.904 SHDOCVW.dll


du solltest dich mit dem Ergebnis von virustotal direkt ins Kaspersky-Forum wenden, mal sehen, was die dazu meinen
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ich hab' jetzt mal zu Testzwecken die gleiche Datei, aber die von meinem PC, auf http://www.virustotal.com/flash/index_en.html checken lassen und es wurde nichts gefunden, d.h. dass die Datei vom Laptop also doch infiziert ist mit W32/Agent.U!kit. Das blöde ist, dass die Datei sich nicht reparieren lässt, sondern nur löschen lässt, was aber problematisch ist, da sie wichtig für ein funktionierendes System ist. Könnte ich sie nicht einfach durch eine virusfreien Datei (also die von meinem PC) ersetzen???


Nachtrag: Wie es aussieht waren auch die Wiederherstellungspunkte infiziert und noch andere Dateien (u.a. shdocvw.bak), so dass ich sie löschen musste. Ich hab' anschließend die shdocvw.dll von meinem PC genommen und sie (auch wenn es umständlich war) auf dem Laptop kopiert und siehe da der Laptop funktioniert einwandfrei. Ich ließ Kaspersky auch schon 2x übers System laufen und siehe da er hat nichts mehr gefunden .
Ich hoffe dies war meinem Dad eine Lehre und er achtet ein bisschen mehr darauf, welche Mails er öffnet .
Nochmals Danke für die Hilfe! Einfach super, wie hier Einem geholfen wird !!!