Hallo! Ich habe laut AntiVir den Virus EXP Agent.B auf meinem Rechner. Diesen habe ich mit AntiVir gelöscht, aber seitdem stürzt mir ständig der Rechner ab. Poste hier mal die Hijack-Auswertung. Kann mir bitte jemand weiterhelfen?

Logfile of HijackThis v1.99.1
Scan saved at 15:39:58, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\silke\Eigene Dateien\Progis\Hijack\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\silke\Eigene Dateien\Progis\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Dokumente und Einstellungen\silke\Eigene Dateien\Progis\Acrobat Reader\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe

Hallo,

kannst du bitte den Fundort des Trojaners nennen?
Sonst sieht Dein Log, meiner Meinung nach, sauber aus.
Ausser:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68

Aber damit kenne ich mich net aus und kann Dir net sagen ob das ne Umleitung ist! Da solltest mal warten, was die Leute sagen, die darüber bescheid wissen.

Was du aber machen könntest.

Nen eScan. Alles dazu gibts hier . Anleitung genau lesen und Raport Posten!

Gruß Mellosun

Vielen Dank erst einmal....

O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68

habe ich schon ein paar mal versucht zu löschen, erscheint aber immer wieder!
Vielleicht kennt sich damit ja noch jemand aus?!

mOIn auch,
inetnum: 62.220.0.0 - 62.220.31.255
netname: DE-KOMTEL-980316
descr: Versatel Nord-Deutschland GmbH
descr: PROVIDER LOCAL REGISTRY
country: DE

inetnum: 195.202.33.0 - 195.202.33.255
netname: CITYKOM-NET
descr: Citykom Muenster GmbH Telekommunikationsservice
descr: Roesnerstr. 8
descr: 48155 Muenster, Germany
infos von whoisabfrage http://www.iks-jena.de/cgi-bin/whois
hoffe ihr könnt mit den Infos was anfangen
MFG

Hallo Sille1969,

lade Dir F-Secure Blacklight und poste das entspr. Scanergebnis.

dartus

Zitat:

Zitat von Mellosun

Hallo,

kannst du bitte den Fundort des Trojaners nennen?
Sonst sieht Dein Log, meiner Meinung nach, sauber aus.
Ausser:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68

Aber damit kenne ich mich net aus und kann Dir net sagen ob das ne Umleitung ist! Da solltest mal warten, was die Leute sagen, die darüber bescheid wissen.

Was du aber machen könntest.

Nen eScan. Alles dazu gibts hier . Anleitung genau lesen und Raport Posten!

Gruß Mellosun

Wenn man die Seite http://www2.glitteryourway.com öffnet, versucht exp/Agent.B lt. Antivir was Böses zu machen.
Und nein...ich besuche solche Seiten normalerweise nicht, hatte den Link von einer Bekannten bekommen und sollte da mal schauen.
Liegt in der popup[1].htm und noch einer glaube ich.
Die Antivir Meldung kommt bei IE6.x, aber bei mir nicht bei Opera@USB.

Was genaues über diesen Exploit wäre mal interessant.

Gruß
Andreas