win32.agent.bq und ttdeuxxa.exe in kaspersky-quarantäne
 

hallo
habe seit anfangs august mehrere trojaner meldungen. eininge konnte mein kaspersky löschen, doch weitere meldungen werden täglich angezeigt. hier nun mal mein logfile in der hoffnung, dass mir geholfen werden kann.
habe alle windows updates getätigt.
gruss filou

Logfile of HijackThis v1.98.2
Scan saved at 15:12:52, on 13.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\ati2plab.exe
C:\WINNT\CPQDIAG\CPQDFWAG.EXE
C:\PROGRA~1\Compaq\COMPAQ~3\hibserv.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\rmctrl.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\WINNT\iexn.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINNT\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\rxlrw.dll/sp.html#23648
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\rxlrw.dll/sp.html#23648
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\rxlrw.dll/sp.html#23648
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\rxlrw.dll/sp.html#23648
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\rxlrw.dll/sp.html#23648
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\rxlrw.dll/sp.html#23648
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {874591AD-452E-E4C8-B375-961EC211B80E} - C:\WINNT\system32\msfm.dll (file missing)
O2 - BHO: (no name) - {C8A61254-758B-74CD-8265-94E2E2DE2D77} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Direct -p USB001 -pn "hp LaserJet 1300 PCL 6" -n 0 -l 1033 -sl 120000
O4 - HKLM\..\Run: [iexn.exe] C:\WINNT\iexn.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunOnce: [netqh32.exe] C:\WINNT\netqh32.exe
O4 - HKLM\..\RunOnce: [crcj32.exe] C:\WINNT\system32\crcj32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

C:\WINNT\iexn.exe

Prüf diese Datei bitte mal manuell mit Kaspersky. Was sagt er?

Wie ich sehe, verwendest du Kaspersky 5.0. Von wann sind die zuletzt geladenen Signaturen? Hast du die erweiterten oder die Standard-Signaturen ausgewählt? Welchsele ggf. bitte mal zu den erweiterten und lade sie herunter.

an mmk
danke für die prompte antwort.
-winnt/iexn.exe geprüft. keine infiszierung
-kaspersky signaturen sind die aktuellsten von heute
-das mit den standard- oder erweiterten signaturen habe ich nicht ganz kappiert. wo kann man dies auswählen?

Dann schicke bitte diese Datei C:\WINNT\iexn.exe gezippt an:
virus@av.klaffke.info
oder
virus@rokop-security.de

Du kannst den Updater so konfigurieren, dass er die erweiterten Signaturen herunterlädt.