trojanisches Programm Trojan-Clicker.HTML.Agent.a

Rayman · 05.11.2006, 18:26

Servus Leutz

hab mir nen Trojaner eingefangen und werde den aber nicht mehr los.
Ich habe das AntiViren Prog von Kaspersky Internet Security 6.
Und alle 10min. kommt ne Warnung mit folgendem Eintrag:

trojanisches Programm Trojan-Clicker.HTML.Agent.a
Datei: C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PVV3TP8A\popup[1].php/popup[1]

Dann lösche ich die Files die damit infiziert sind aber die kommen immer wieder hab es auch schon im abgesicherten Modus probiert ich verzweifle.

Ich benutze den neuen Firefox 2.0 und habe WinXp Home Edition, hab auch das SP1 und SP2 drauf.

Hier habt ihr meinen HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:08:38, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\PowerStrip\pstrip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\Progz\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programme\DeluxeCommunications\DxcBho.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [FreeCall] "C:\Programme\FreeCall.com\FreeCall\FreeCall.exe" -nosplash -minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\m4lsle371h.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

felix1 · 05.11.2006, 18:52

Doppelpost, bitte tonnieren

http://www.trojaner-board.de/33344-b...h-checken.html

Rayman · 05.11.2006, 19:02

Also Felix danke für die wichtige Info anderer Post ist tonniert

Hättest ruhig noch ne Antwort auf meine Frage ranhängen können

felix1 · 05.11.2006, 19:06

Dann editiere den Beitrag hier und ergänze das Log.

So schnell ist die Boardleitung doch sonst nicht

Rayman · 05.11.2006, 19:10

Das ist der ganze LogFile was fehlt den noch nach deiner Meinung ?

Rene-gad · 05.11.2006, 19:14

Zitat:

Zitat von Rayman

Das ist der ganze LogFile was fehlt den noch nach deiner Meinung ?

Das ist nicht die persönliche Meinung vom verehrten felix1, sondern die Realität: Im Log fehlen die ersten 4 Zeilen, wo die Angaben zum BS und IE-Version abgebildet sind.

Rayman · 05.11.2006, 19:18

ok alles editiert mal schauen ob ihr aus den 4 Zeilen mehr etwas schlauer werdet den ich raff garnix mehr bin total am Ende

felix1 · 05.11.2006, 19:27

Na siehste, es geht doch

Sieh mir bischen so aus, als wäre da etwas mit L2M.

Führe erst mal aus:
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Danach ein neues HJT-Log.

Zitat:

Zitat von Rene-Gad

vom verehrten felix1

@Moin Rene-Gad
Danke für die Blumen

Rene-gad · 05.11.2006, 19:33

@Rayman
Leere alle Temp-Ordner (Link ClearProg in meiner Signatur).

Zitat:

Ich benutze den neuen Firefox 2.0

Steht in der Gebrauchsanleitung, dass FF2 das Windows von Dummheiten des Benutzers schützen soll?
BTW: Ich schreibe den Posting im IE7

.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programme\DeluxeCommunications\DxcBho.dll (file missing)
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O20 - Winlogon Notify: MCD - C:\WINDOWS\system32\m4lsle371h.dll (file missing)

NetPumper, DeluxeCommunication über Systemsteuerung/Software deinstallieren, die alle fixen

Zitat:

O4 - HKCU\..\Run: [FreeCall] "C:\Programme\FreeCall.com\FreeCall\FreeCall.exe" -nosplash -minimizedO16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - h**p://w*w.giga.de/giga-stream-test/Rawflow.cab
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\

Die kannst du lassen, denn ich kenne diese Programme nicht, vllt. aber du.

alexisonchaos · 05.11.2006, 20:42

schon mal über dein suf-verhalten nachgedacht???

plumper schafft ne eigene oberfläche....was da an rein bzw. raus-geh-rechten stattfindet, ist definif nicht definierbar und schafft ne oberfläche für alle kompatieblen skripte...
wie auch immer...
für was ist so ein dl-manager zu gebrauchen????

alexisonchaos · 05.11.2006, 20:45

p.s. .... den schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions

löschen...

alexisonchaos · 05.11.2006, 20:48

und Die deutsche Mozilla Firefox-Website im Internet benutzen

felix1 · 05.11.2006, 21:13

So richtig kann ich mit Deinen drei letzten Postings nichts anfangen. Im Gegentei: Sie stören den Verlauf des Threads.

alexisonchaos · 05.11.2006, 21:21

Zitat:

Zitat von felix1

So richtig kann ich mit Deinen drei letzten Postings nichts anfangen. Im Gegentei: Sie stören den Verlauf des Threads.

war auch nicht speziell....

aber ich frag nochmal: "Für was brauch man so eine DL-Manager"?

felix1 · 05.11.2006, 21:47

Zitat:

Zitat von alexisonchaos

war auch nicht speziell....

aber ich frag nochmal: "Für was brauch man so eine DL-Manager"?

Mal ganz drastisch:
Du begehst Dialogstörung. Unterlasse dies zukünftig

05.11.2006, 18:52	#2
felix1 /// Helfer-Team	trojanisches Programm Trojan-Clicker.HTML.Agent.a Doppelpost, bitte tonnieren http://www.trojaner-board.de/33344-b...h-checken.html __________________ __________________

05.11.2006, 19:06	#4
felix1 /// Helfer-Team	trojanisches Programm Trojan-Clicker.HTML.Agent.a Dann editiere den Beitrag hier und ergänze das Log. So schnell ist die Boardleitung doch sonst nicht __________________ LG Der Felix Keine Hilfe per PN und E-Mail

05.11.2006, 21:13	#13
felix1 /// Helfer-Team	trojanisches Programm Trojan-Clicker.HTML.Agent.a So richtig kann ich mit Deinen drei letzten Postings nichts anfangen. Im Gegentei: Sie stören den Verlauf des Threads. __________________ LG Der Felix Keine Hilfe per PN und E-Mail

trojanisches Programm Trojan-Clicker.HTML.Agent.a

Plagegeister aller Art und deren Bekämpfung: trojanisches Programm Trojan-Clicker.HTML.Agent.a