Trojaner-Board - Hatte Tr/Agent.z... bräuchte noch hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hatte Tr/Agent.z... bräuchte noch hilfe (https://www.trojaner-board.de/5971-tr-agent-z-braeuchte-noch-hilfe.html)

Hallo erstmal... Ich hatte den Trojaner/ Agent.z auf meinem Rechner.
Mit Hilfe sämtlicher Foren habe ich ihn (glaube ich), wegbekommen. Nun habe ich aber das große Problem das mein Rechner unheimlich lange hochfährt und meine Downloadzeiten, z.B. bei Updates von Antivir sehen ziemlich mau aus.
Ich habe mir dieses Highjack-progr. runtergeladen und auch schon so einiges gelöscht.
Nun bräuchte ich die Hilfe eines Fachkundigen, weil ich nicht weiss ob da noch mehr drin ist. (man will ja auch nichts falsches löschen).

Danke im vorraus
Gruß Thorsten

Hallo and Welcome on Board [img]smile.gif[/img]

<blockquote>Zitat:<hr /> Nun bräuchte ich die Hilfe eines Fachkundigen, weil ich nicht weiss ob da noch mehr drin ist. (man will ja auch nichts falsches löschen).

[/QUOTE]Poste bitte dein HJT Log

Ist dein Temp. Ordner leer ?
Defragmentieren ?

Anti Spy Tools

mein temp ist restlos leer und defrag hab ich auch schon gemacht

Logfile of HijackThis v1.97.7
Scan saved at 13:27:26, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AVPersonal\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\AVPersonal\AVGNT.EXE
C:\volumenzähler\Volumenzaehler\BoVolume.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\DelFin\PromulGate\PgMonitr.exe
C:\Programme\Save\Save.exe
C:\Patch aller Art\für den trojaner agent\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VolumeCounter] "C:\volumenzähler\Volumenzaehler\BoVolume.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...AB?37844.68625
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?310
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93210ABF-A575-4F26-881A-31626B342A44}: NameServer = 145.253.2.75 195.50.140.250

Schau mal, ob Du unter Systemsteuerung -> Software einen Eintrag findest, der da lautet: NOWDOTNET, NEW.NET oder ähnlich. Wenn ja, versuche es auf diesem Weg zu deinstallieren.
FUnktioniert das nicht, fixe bitte folgende Einträge:
<blockquote>Zitat:<hr />O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net [/QUOTE]Diese Datei/dieses Verzeichnis solltest Du dann auch noch löschen:
C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL
Dürfe ausgeschrieben in etwa so lauten:
C:\Programme\NEWDOTNET\NEWDOTNET.DLL

Danke

hab es entfernt und neu gestartet...ist auch aus dem Ordner Programme raus. Werde jetzt nochmal die temps löschen und defrag machen. Hoffe dann ist alles wieder bestens.
PS.: Hast du vielleicht noch n Tip wie ich den Startvorgang beschleunigen könnte??

Trotzdem danke schonmal für die Hilfe

achso....sorry...kannst du mir vielleicht auch noch sagen, was folgender eintrag zu sagen hat??

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Danke

Holla,
den hier habe ich eben vollkommen übersehen:
<blockquote>Zitat:<hr />O4 - HKLM\..\Run: [windows auto update] msblast.exe [/QUOTE]Sysinfo.org schreibt folgendes dazu:
<blockquote>Zitat:<hr />Added as a result of the BLASTER.B VIRUS! [/QUOTE]'Komisch', dass AntiVir dazu nichts findet. Hast Du schon mal im abgesicherten Modus den Rechner gescannt? Ggf. solltest Du das mal mit eScan nachholen. Oder ist das ein Überbleibsel einer bekannten Blaster-Infektion?

<blockquote>Zitat:<hr /> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install [/QUOTE]Ist -wenn es sich um die Originaldatei handelt- harmlos. Gehört dann zum Grafiktreiber von nVidia

so nun mal zu guter letzt.
Habe escan gemacht...püühh. War garnicht so einfach für so einen Laie wie mich. Hat immerhin 54 Einträge gefunden und auch gelöscht.
Mein Startvorgang ist zwar immernoch nicht schneller, aber ich denke das kriege ich auch noch irgendwie hin.

Einen super herzlichen Dank.
Toll das es so Leute wie euch gibt.

Viele Grüße Thorsten

Schau bitte unbedingt nach, ob es diese msblast.exe noch bei Dir gibt, bzw. ob sie im Scanlog von eScan aufgeführt wird. Den Eintrag (siehe oben) kannst Du auf jeden Fall 'fix'en.

Nein existiert nicht mehr. Scheint jetzt wohl alles raus zu sein.

Gruß und Thx