Hallo,

ich weiss noch nicht genau, was ich mir eingefangen habe. Hier eine kurze Beschreibung:

Ich bin ziemlich sicher, dass ich mir das Ding über den InternetExplorer beim Anklicken eines Links eingefangen habe (also nicht per Mail). Zunächst wurden mehrere Dialer zu irgendwelchen Pornoseiten installiert. Ein Webseiten-Hijacker war integriert und zahlreiche Funktionen meines Systems wurden ausgeschaltet, so funktioniert weder das Kopieren von Dateien, noch das Suchen von solchen. Die C: Festplatte wird ausserdem bis auf 0 Byte verfügbaren Speicherplatz mit sinnlosen Daten 'vollgeknallt'. Norton Antivirus funktioniert genausowenig wie meine Tiny Personal Firewall.

Spybot hat einige Dinga auf dem PC finden können. Das Entfernen brachte aber nicht die endgültige Lösung. Ad-aware fand zu Beginn mehr als 170 Objekte. Eine Vielzahl habe ich bereits als Files, Verzeichnisse, Registry-Keys und ähnliches gelöscht. Letztendlich findet Ad-aware nach einem Neustart nun noch 2 Prozesse und 1 Registry-Eintrag, die ich nicht genau identifizieren kann. Ein Prozess nennt sich Win32.TrojaDownloader.Agen.al. Sobald ich ins Internet gehe werden wieder ein ganzer Haufen neue Files geladen und im System versteckt.

Kann sich jemand dieses Verhalten erklären und mir eventuell helfen ?

Habe auch ein Hijack-Log direkt nach dem Neustart angefertigt:

Logfile of HijackThis v1.99.0
Scan saved at 22:19:00, on 31.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sdkmf32.exe <--
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Norton Systemworks 2003\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
E:\QuickTime 4\qttask.exe
C:\WINDOWS\ntsg32.exe <--
C:\WINDOWS\System32\wuamgrd.exe <--
E:\Tiny Personal Firewall 5.5\amon.exe
C:\WINDOWS\System32\wuamgrd.exe <--
E:\isdn\Capictrl.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Dokumente und Einstellungen\Sven\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hubxy.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {197C0785-84C0-9284-C09C-6D2AC5B81796} - C:\WINDOWS\system32\winbl.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton Systemworks 2003\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Norton Systemworks 2003\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Norton Systemworks 2003\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime 4\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [msic.exe] C:\WINDOWS\system32\msic.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [Web Service] C:\WINDOWS\System32\web.exe
O4 - HKLM\..\Run: [ntsg32.exe] C:\WINDOWS\ntsg32.exe
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunOnce: [sdkmf32.exe] C:\WINDOWS\system32\sdkmf32.exe
O4 - HKCU\..\Run: [AMonitor] E:\Tiny Personal Firewall 5.5\amon.exe
O4 - HKCU\..\Run: [Web Service] C:\WINDOWS\System32\web.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E081CB8-D7B0-4E27-81A6-BD20EF67330C}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E081CB8-D7B0-4E27-81A6-BD20EF67330C}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - E:\Norton Systemworks 2003\Norton Ghost\GhostStartService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Norton Systemworks 2003\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - E:\Norton Systemworks 2003\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: FW Event Manager - Tiny Software, Inc. - E:\Tiny Personal Firewall 5.5\UmxAgent.exe
O23 - Service: FW Configuration Interpreter - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW Live Update - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\umxlu.exe
O23 - Service: FW Policy Manager - Tiny Software Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\mshr32.exe (file missing)

Bei den Prozessen habe ich meine Verdächtigen mit roten Pfeilen markiert.

StartupList report, 31.01.2005, 22:08:26
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Sven\Desktop\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Norton Systemworks 2003\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
E:\QuickTime 4\qttask.exe
C:\WINDOWS\System32\wuamgrd.exe
E:\Tiny Personal Firewall 5.5\amon.exe
E:\isdn\Capictrl.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Sven\Desktop\HijackThis.exe

Bin für jeden guten Tip dankbar.

Hi, batko,
Neben Deinem Agent Al hast du noch weit schlimmer mindetens einen Backdorrtrojander drauf, nämlich den da.
Deshalb erübrigt sich alles weitere:
Es gilt nur eins: System neu aufsetzen!
Beachte alle Tipps in dem Link und melde Dich wieder wenn Du es gemacht hast.
Außerdem gleich auf SP2 updaten.
cacatoa