Hallo an alle,
mittlerweile zeigt mir AntiVir wechselnde Virenmeldungen.Immer nachdem ich auf den IE klicke (nachdem ich gelöscht habe) kommt ne neue Warnung.
Zuerst war es C:\Windows\System32\MSBC.DLL
dann...MSYZ.DLL , MSXY.DLL , MSHI.DLL , MSKL.DLL , MSIJ.DLL usw.
Und auch noch dies:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP1\A0000002.DLL
Ist der Trojaner TR/Dldr.VBS.Ps.Ac.4
Immer wenn ich Windows starte hat er die Endungen geändert.
Und wie deinstalliere ich die Freshbar?

Hier der Log.
Logfile of HijackThis v1.99.0
Scan saved at 22:12:52, on 17.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\SPMSMON.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84"
O4 - HKLM\..\Run: [\\1-server\EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "\\1-server\EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.nuker.com/products/swn200...rInstaller.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096704302375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

DANKE FÜR EUERE HIFE .

@Panjo
lade dir escan download
anleitung
mache es genauso wie beschrieben ist, scan dauert 1 stunde
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Hi,
Habe mit escn gescant. Hier das Ergebnis.

Sat Dec 18 10:21:10 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Dec 18 10:21:10 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0018821.DLL.VIR
Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\A0018821.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.

Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSBC.DLL.VIR
Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSBC.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.

Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSHI.DLL.VIR
Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSHI.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.

Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSIJ.DLL.VIR
Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSIJ.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.

Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSOP.DLL.VIR
Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSOP.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.

Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSYZ.DLL.VIR
Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSYZ.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.

Was sollte ich jetzt tun ?? Wie Ihr merkt bin ich in Sachen PC Erfahrenheit nicht gerade sehr Fit.

Leere den AntiVir-Infected-Ordner und gut ist.

Fixe mit HijackThis dies:

O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.nuker.com/products/swn20...erInstaller.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


Deaktiviere die Systemwiederherstellung -> Neustart -> Systemwiederherstellung wieder aktivieren.

HI an alle, vor allem an Christian,Chaosmann und Mountainking .
Vielen Dank für euere Hilfe. Hat leider noch nicht geklappt.Dabei hab ich s so gemacht wie Ihr empfohlen habt.
Bekomme immer noch die Meldung von AntiVir dass der Trojan downloader TR/Dldr.VBS.Ps.Ac.4 da ist und diesmal mit der Endung C:/Windows/System32/MSLM.DLL
und diese Meldung über den Trojaner
C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP1\A0000007.DLL


Hier nun der neue Log von HJT



Logfile of HijackThis v1.99.0
Scan saved at 19:36:17, on 18.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\E_S00RP2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\WINDOWS\SPMSMON.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\System32\alg.exe
C:\Dokumente und Einstellungen\user\Desktop\Downloads\mwav.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84"
O4 - HKLM\..\Run: [\\1-server\EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "\\1-server\EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096704302375
O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

Zitat:

C:/Windows/System32/MSLM.DLL

Lösche diese Datei manuell

Zitat:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP1\A0000007.DLL

Deaktiviere nochmals die Systemwiederherstellung, siehe http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Hallo Cidre,
wie kann ich die Datei:C:/Windows/System32/MSLM.DLL Löschen ??
unter suche nach Datei usw. kriege ich die Meldung-C:/Windows/System32/MSLM.DLL ist keine gültige Datei

Zitat:

wie kann ich die Datei:C:/Windows/System32/MSLM.DLL Löschen ??

Rechtsklick auf die Datei, danach löschen und Papierkorb leeren.

Zitat:

kriege ich die Meldung-C:/Windows/System32/MSLM.DLL ist keine gültige Datei

Navigiere mal zu diesen Ordner C:/Windows/System32 und lösche wie oben beschrieben die Datei im abgesicherten Modus.

btw:
Eventuell musst dies noch einstellen:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Bin langsam am Drehen,

kann tun was ich will syssteuerung ausschalten usw. kriege immer wieder diese Meldung und das nach 5fachem löschen der datei mit antivir.
Bitte gebt mir Anleitung für einen Blöden. am besten aufgemalt auf ein Blatt Papier-seufz es soll laut escan der Trojaner win32.Agent.fy sein (TR/Dldr.VBS.Ps.Ac.4)
.Nur ich finde nirgens eine Beschreibung od.ein tool gegen das Miststück.

Lade nochmals eScan (ältere Version) runter und update diesen. Diese Version entfernt die Malware noch automatisch und berichte dann über den Erfolg.
ftp://mwti.matrix.lv/download/tools/

btw:
Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
-Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

@Cidre
Hi,
Habe probiert das ältere escan downzuloaden - geht nicht.zeigt mir an:Virus database is older than 30 days.we recommendet that you download the latest toolkit from mwti.net.
und habe immer wieder veränderte dll. Endungen wie mom. MSRS.DLL od. MSOP.DLL
Ja ist denn schon wieder Virus
Das Ding muss doch zu Killen sein.
a2 sagt mir dass keine Malware gefunden wird aber AntiVir bringt dauernd Warnungen wie zb aktuell
C:\WINDOWS\SYSTEM32\MSDE.DLL

Ist das Trojanische Pferd TR/Dldr.VBS.Ps.AC.4


Grüße - Panjo

Zitat:

Virus database is older than 30 days.we recommendet that you download the latest toolkit from mwti.net.

Dies sagt aus, dass deine Signaturen älter als 30 Tage sind, darum musst du die kavupd.exe (Update) ausführen. Gehe nochmals wie hier beschrieben vor, dann sollte es eigentlich klappen. http://www.trojaner-board.de/42731-escan-anleitung.html