hallo,

ich habe ein ziemlich hartnäckiges Problem bei dem mir hoffentlich jemand helfen kann.

Der Trojaner den ich mir eingefangen habe wird laut "AntiVir PE Classic"

TR/Dldr.Agen.aef.21

genannt. Er erstellt ständig eine Datei mit dem Namen "tmp_d4v.exe" im System32 Ordner. Egal was ich versucht habe (und das war nicht wenig :-) ich erhalte immer wieder die Fehlermeldung und die Datei kommt natürlich auch wieder. Meistens tritt sie direkt nach einem Neustart auf.

Wäre echt super wenn mir jemand helfen könnte.
Mfg

---------------
Hier noch das aktuell HJT Protokoll

Logfile of HijackThis v1.99.1
Scan saved at 23:53:57, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/045daece2f951fe53020/netzip/RdxIE601_de.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\systk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\systk.dll
C:\WINDOWS\system32\cmd32.exe

Diese beiden Dateien sollten wir mal genauer untersuchen. Damit du die online auswerten kannst, solltest du diese zuerst mal mit Killbox löschen. Denn es ist nicht unwahrscheinlich, dass diese Dateien vom Schädling "geschützt" sind und somit der Zugriff darauf verhindert wird.
Besorg dir Killbox und starte es. Kopier dazu die Pfadanangaben zuerst von einer Datei in das Adressfeld von Killbox. Dann aktivierst du die Option "Delete on reboot" und klickst auf das rote Schild mit dem weißen X. Die folgende Frage mit Nein beantworten, sonst würde das System neustarten, aber wir wollen ja, das beide Dateien beim nächsten Systemstart gelöscht werden.
Das gleiche machst du dann mit der anderen Datei auch und startest dann Windows neu.
Schau mal danach in den neuen Ordner C:\!KILLBOX\, ob sich dort die Dateien drin befinden, denn Killbox legt dort jew. eine Sicherheitskopie an. Achte darauf, dass alle Dateien angezeigt werden. Werte dann diese beiden Dateien anschließend bei Virustotal aus und poste sämtliche Ergebnisse, auch Infos zu Dateigrößen und Prüfsummen.
Mach auch mal bitte einen Check mit Blacklight und poste das Ergebnis.

Vielen Dank für die schnelle Info. Leider bin ich bis ca. 17.30 Uhr auf Arbeit.
Ich werde es allerdings gleich machen wenn ich zu Hause bin und die Ergebnisse posten.

Mfg

So hier ein kurzer Zwischenstand:

Killbox hat nur eine der beiden Dateien in dem Verzeichnis abgelegt(C:\!KillBox)

systk.dll

Ich habe zwar die andere auch angegeben aber anscheinend wollte er die nicht löschen. Nach dem Reboot hab ich wieder versucht die Datei zu löschen doch diesmal brachte Killbox folgende Meldung:

PendlingFileRenameoperations Registry Data has been Removed by External Process!

----------

Virustotal gibt mir hier eine Wartezeit von ca. 3 Stunden daher poste ich sobald ich das Ergebnis habe von systk.dll



----------

Hier noch die Ergebnisse von Blacklight:


Status: Scan completed.
No hidden items were found.
Summary: Bei beiden steht 0

oder meinst du die Textdatei?

01/08/07 18:03:04 [Info]: BlackLight Engine 1.0.55 initialized
01/08/07 18:03:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/08/07 18:03:04 [Note]: 7019 4
01/08/07 18:03:04 [Note]: 7005 0
01/08/07 18:03:10 [Note]: 7006 0
01/08/07 18:03:10 [Note]: 7011 168
01/08/07 18:03:10 [Note]: 7026 0
01/08/07 18:03:10 [Note]: 7026 0
01/08/07 18:03:11 [Note]: FSRAW library version 1.7.1021
01/08/07 18:04:00 [Note]: 2000 1012
01/08/07 18:04:00 [Note]: 2000 1012
01/08/07 18:04:00 [Note]: 2000 1012

----------

P.S. Meine Interverbindung baut sich auch nicht mehr richtig auf. Es dauert mehrere Minuten. (Wenn ich den Virusprogrammierer in die Finger kriege )

Okay, dann mach mal einen Check mit eScan => Direktlink, Anleitung siehe Signatur.

Du solltest dich aber sicherheitshalber schonmal auf eine Neuinstall einrichten. Warten wir aber erstmal die Ergebnisse ab.

Ok hier das Virustotal Ergebnis:

Link: http://www.virustotal.com/vt/en/resultadof?48e0e838a2ee69309c3d08b4368070b5


STATUS: FINISHEDComplete scanning result of "systk.dll", received in VirusTotal at 01.08.2007, 18:09:20 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.08.2007 no virus found
Authentium 4.93.8 12.30.2006 could be infected with an unknown virus
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 Downloader.Small
BitDefender 7.2 01.08.2007 Trojan.Downloader.Small.BXW
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.08.2007 Trojan.Downloader.Small-3016
DrWeb 4.33 01.08.2007 Trojan.DownLoader.14310
eSafe 7.0.14.0 01.08.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3311 01.08.2007 Win32/Logho
Ewido 4.0 01.08.2007 Downloader.Small.cyn
Fortinet 2.82.0.0 01.08.2007 W32/Small.BXW!tr.dldr
F-Prot 3.16f 01.05.2007 could be infected with an unknown virus
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.08.2007 no virus found
Kaspersky 4.0.2.24 01.08.2007 Trojan-Downloader.Win32.Small.cyn
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1963 01.08.2007 Win32/TrojanDownloader.Small.CYN
Norman 5.80.02 12.31.2007 W32/DLoader.gen5
Panda 9.0.0.4 01.07.2007 Trj/Downloader.LFO
Prevx1 V2 01.08.2007 no virus found
Sophos 4.13.0 01.05.2007 Troj/Foghor-Gen
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 Trojan/Downloader.small
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.08.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 Trojan.DL.Small.Gen.22


Aditional Information
File size: 4096 bytes
MD5: ef7b3d8ee32ce9f57d67a19265e3b5af
SHA1: 1c8139c7e5083d35c9ebf966977343996f0f9c6e

P.S. Sorry wenn ich immer ne neue Antwort schreibe. Finde die Editier Option nicht