Hallo,
TR/Click.Agen.32256 und TR/Monder.133120 treiben ihr Unwesen, wird seit Tagen immer schlimmer und poppt jetzt ständig über AntiVir auf.
VIELEN DANK!!!

System: XP Pro 2002, SP2

Antivir Scan meldet:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\winvdj32.dll
[FUND] Ist das Trojanische Pferd TR/Click.Agen.32256
[WARNUNG] Die Datei konnte nicht gelöscht werden!

Die Registry wurde durchsucht ( '36' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\QooBox\Quarantine\C\WINDOWS\system32\fdoedyjm.dll.vir
[FUND] Ist das Trojanische Pferd TR/Monder.133120
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\winvdj32.dll
[FUND] Ist das Trojanische Pferd TR/Click.Agen.32256
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


HIer auch das HiJack Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:35, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Utilities\System\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Utilities\Media\iTunes\iTunesHelper.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Utilities\System\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR\WG111v3\WG111v3.exe
C:\Utilities\System\Winzip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Utilities\Internet\Firefox\firefox.exe
C:\Utilities\Internet\Thunderbird\thunderbird.exe
C:\Utilities\System\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {440B66B4-6CB6-6E31-37C1-0A3FCD0C6F37} - C:\WINDOWS\system32\vatbkqbs.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Utilities\System\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Utilities\Media\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [9cb6a0e6] rundll32.exe "C:\WINDOWS\system32\chkuhlqb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Utilities\System\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Utilities\System\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [IiviMRjJ1A] C:\WINDOWS\TEMP\win12B.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v3\WG111v3.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Utilities\System\Winzip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\UTILIT~1\System\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\UTILIT~1\System\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Utilities\System\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Utilities\System\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winvdj32 - winvdj32.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Utilities\System\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7496 bytes

Hallo,
ich bin Markus und wir werden in der nächsten Zeit Zusammenarbeiten.
Bitte mache keinerlei alleingänge bei der Reinigung und warte auf meine Anweisungen!
Das Auswerten der Logfiles kann immer eine Weile dauern also hab Geduld!

Schritt 1:
Teile mir dein genaues Problem mit. Wenn dein Antivirenprogramm Funde gemacht hat, schreibe mir was und wo gefunden wird poste eventuellforhandene logs.

Schritt 2:

kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen
>den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Schritt 3:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. entpacke
   die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
   
3. starte deinen Rechner neu auf
4. öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5. dein Editor
   (Textverarbeitungsprogramm) wird sich öffnen
6. markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese
   Dateien deinem nächsten Beitrag an

• Ein dickes Dankeschön an den moderatorModerator Karl vom hjt-forum.für die filelist.bat
  (Anleitung)

Dies sind die
Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\%WinDir%\%System%
Verzeichnis von C:\%WinDir%
Verzeichnis von C:\%WinDir%\Prefetch (Windows XP)
Verzeichnis von C:\%WinDir%\tasks
Verzeichnis von C:\%WinDir%\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32
(Windows XP).

Schritt 4:
Laden und Instalieren von Hijackthis:
Besuche die Seite:
http://www.zdnet.de/downloads/prg/n/m/deGNNM-wc.htmlInstaller." Speichere diese Version auf Deinem PC.
Liste mit 1 Einträgen
• Doppelklicke auf "HJTInstall.exe" und folge den Anweisungen zum Installieren von HijackThis.
Listen Ende
Tu noch nichts weiter mit dem Programm wir benötigen es noch!

Schritt 5:

Bitte lade Deckard's System Scanner (DSS) herunter und speichere es auf
dem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein.

1. Schließe ALLE Anwendungen und Fenster.
2. Doppel-klicke
   auf dss.exe um es auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -
   
   main.txt <- dieses wird maximiert dargestellt und
   extra.txt <- dieses wird als minmierte Datei dargestellt
   
4. Kopiere (STRG+A und STRG+C) und füge STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort ein.

[/QUOTE]