Trojaner TR/RKit.Agent.BK
 

Hallo,
nach dem Hochfahren meines PC gibt AntiVir folgende Meldung:

C:\WINDOWS\system32\comdlj32.dll ist das trojanische Pferd TR/RKit.Agent.BK

Im abgesicherten Modus kann ich die angegebene Datei löschen, aber nach dem Neustart ist sie dann wieder da. (Papierkorb wurde auch geleert)

hier das Log:
Logfile of HijackThis v1.99.1
Scan saved at 12:54:31, on 01.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\TELES\skyDSL\tskyclnt.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\TELES\skyDSL\tkpclnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\taskdir.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TELES\skyDSL PCI\DVBData.exe
C:\Programme\FRITZ!\IWatch.exe
C:\FGL-Ware\5_1_2\HTTPD\apache.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\FGL-Ware\5_1_2\EDBQLD\server.exe
C:\FGL-Ware\5_1_2\HTTPD\apache.exe
C:\FGL-Ware\5_1_2\EDBQLD\edbql.exe
C:\FGL-Ware\5_1_2\EDBQLD\edbql.exe
C:\FGL-Ware\5_1_2\EDBQLD\edbql.exe
C:\FGL-Ware\5_1_2\EDBQLD\edbql.exe
C:\FGL-Ware\5_1_2\EDBQLD\edbql.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TELES\skyDSL\Proxy\craxy.exe
C:\Programme\TELES\skyDSL\tskymtpc.exe
C:\Programme\TELES\skyDSL\tkpsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\FABE44~1.DAN\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.danksport.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.danksport.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/redirect/?partnerid=0&distribution=000000000000&version=3.1.7
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [skyDSLClient] C:\Programme\TELES\skyDSL\tskyclnt.exe -q
O4 - HKLM\..\Run: [MD-SOFTWARE-HTTPSERVER] c:\FGL-Ware\5_1_2\HTTPD\httpstarter.exe
O4 - HKLM\..\Run: [MD-SOFTWARE-EDBQLSERVER] c:\FGL-Ware\5_1_2\EDBQLD\edbqlstarter.exe
O4 - HKLM\..\Run: [Koppelpuls Client] C:\Programme\TELES\skyDSL\tkpclnt.exe -skydsl
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DVB Data (skyDSL PCI).lnk = C:\Programme\TELES\skyDSL PCI\DVBData.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: skyDSL++ - {F7522CA2-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2sky.exe
O9 - Extra button: skyDSL- - - {F7522CA8-3DDA-11d3-8560-0060977792B1} - C:\Programme\TELES\skyDSL\sky2fon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\skysocks.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0F838A-74E3-4CA7-9B31-43ED3634E848}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC90A7F0-1F7D-4F7D-9183-61018808A389}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: skyDSL-Proxy (tntcraxy) - Unknown owner - C:\Programme\TELES\skyDSL\Proxy\craxy.exe" service (file missing)

Ich hoffe, Ihr könnt mir helfen
Gruss danksport

Servus!

Lass´ mal folgende Dateien bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Und entpacke HJT in ein eigenes Verzeichnis - im Temporärordner wie bei Dir funktionieren die oft wichtigen Backups nicht!

stupormundi

Auslastung: 0% 100%

Datei: taskdir.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Proxy.Lager.AM gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet PossibleThreat!01925 gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.am gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Hier ist das Ergebnis von jotty, wie gehe ich nun weiter vor?

Das habe ich befürchtet: Da kann und will ich Dir nur raten, nach dieser Anleitung von Cidre Dein System neu aufzusetzen.
Cidre erklärt/verlinkt hier auch, warum das bei einem derartigen Befall leider die einzig sinnvolle Möglichkeit zur Bereinigung ist. Alles andere wäre in diesem Fall unseriös!

Alles Gute, stupormundi

Hallo,
ich möchte mich noch (leider verspätet) für die sehr schnelle Hilfe bedanken...nach der negativen Nachricht haben wir das system neu aufgesetzt und mussten sogar feststellen,. dass der Trojaner ein Passwort im Bios gesetzt hatte, welches eine Neuinstallation unmöglich machte...nach Rücksprache mit dem PC-Verkäufer konnten wir dann endlich das Bios resetten und das System neu aufspielen. Ich bin sehr verwundert, dass es Menschen gibt, die einem solche Probleme bereiten und sogar Arbeitsplätze dadurch gefährden.
Naja, nochmals recht herzlichen Dank für die tolle Hilfe, macht weiter so;)

Gruss danksport

ich denke nicht dass dieser trojaner ein passwort auf das bios gesetzt hat ...
solange du vom cd-rom laufwerk bootest, kannst du auch ein OS installieren :sword2: