Trojaner-Board - TR/ Click Agent AC, TR/dldr Agent IG 2+3

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/ Click Agent AC, TR/dldr Agent IG 2+3 (https://www.trojaner-board.de/13308-tr-click-agent-ac-tr-dldr-agent-ig-2-3-a.html)

TR/ Click Agent AC, TR/dldr Agent IG 2+3

Hallo,
bin auch neu hier. hatte bis jetzt nie etwas mit Würmern und Trojaner zu tun, aber jetzt hat es mich doch erwischt.(siehe Titel).
System : Windows XP. Habe letzte Woche von Explorer und Outlook, zu Firefox und Thunderbird gewechselt. Schutz: bislang nur Zone Alarm.
Ich habe bemerkt, dass etwas nichts stimmt, weil der PC immer eine DFÜ-Verbindung angefordert hat, ohne dass ich ein Programm geöffnet hatte, dass einen Internetzugang benötigt.
Dann habe ich AntiVir installiert und das hat dann TR/Click Agent AC gefunden. Da ich imUmgang mit Trojaner nicht fit bin, habe ich nur auf "Zugriff verweigern" geklickt, da ich nichts löschen wollte.
Gestern früh ging dann gar nichts mehr, sprich Windos ist zwar hochgefahren, aber ich konnte kein Programm mehr öffnen, dass irgendwie mit Windoxs zusammen hing, auch ausschalten ging nicht mehr Da ich zu Arbeit musste hab ich frustriert den Akku gezogen (Notebook). Auf der Arbeit habe ich dann im Internet recherchiert und bin ua auf euch gestossen.
Zu Hause habe ich das notebook wieder angestellt und plötzlich ging alles wieder ????
Habe sofort erst mal meine Daten gesichert :D
Dann habe ich die Datei: windows\system32\vbsys2.DLL von Antivir löschen lassen und AntiVir aktualisiert. Beim erneuten virenscan hat antivir dann noch TR/dlr Agent IG 2+3 gefunden. Habe ich auch gelöscht, ua die Datei A0095007.exe. ich habe dann noch zweimal den Scan laufen lassen und AntiVir hat nichts mehr gefunden. Nun funktioniert mein Email Abruf nicht mehr und das ist jetzt MEIN Problem :dummguck:
Weitere Frage: Was ist "Generic Host Process for Win32 Services"? Das fragt ZoneLab.
Freue mich über Hilfe :juul:
Yvonne

...dann poste doch mal ein

www.htp.klaffke.de

lg

Tom59

Zitat:

Zitat von Tom59

...dann poste doch mal ein

www.htp.klaffke.de

lg

Tom59

Erstmal danke! Aber was hilft das? Was tut es? Ich will schon verstehen, was ich mache :crazy:
lg
Yvonne

es durchsucht die windows-registrierung nach unbekannten browserhilfsobjekten,startupprogrammen, winsock-einträgen, unbekannten dienste usw.

Zitat:

Zitat von Chris14

es durchsucht die windows-registrierung nach unbekannten browserhilfsobjekten,startupprogrammen, winsock-einträgen, unbekannten dienste usw.

so, und jetzt? Ich habe das Programm laufen lassen und Log-File abgespeichert. Was sagt mir der jetzt? Wonach soll ich suchen? :(
Yvonne

ja du sollst das hijackthis log hier posten

Zitat:

Zitat von Chris14

ja du sollst das hijackthis log hier posten

:dummguck: Sorry, das habe ich auch gerade gemerkt. hab mal ein bisschen in den anderen Post gelesen

Logfile of HijackThis v1.99.0
Scan saved at 16:56:09, on 05.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\HOTKEY.EXE
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\msexploren.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\Programme\D\D-Info\dinfostarter.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\YVONNE~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://k2b-bulk.ebay.de/ws/eBayISAPI...SellingSummary
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~2\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~2\FLASHGET\fgiebar.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [HOTKEY.EXE] C:\WINDOWS\SYSTEM32\HOTKEY.EXE
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: QKeys.lnk = C:\Programme\QKeys\QKeys.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~2\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~2\FLASHGET\flashget.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86940507-1AFC-4940-9B35-0F08D99A2A2D}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A64C0D5-7B78-4877-B87B-CE9A46CFA16E}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B108B5-C6C6-4806-8BE1-0AE5B660C9A6}: NameServer = 192.168.0.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache - Unknown - C:\Programme\Apache Group\Apache\Apache.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: IrBridge User-Level Interface - Extended Systems, Inc. - C:\WINDOWS\system32\usrbridg.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

ok analyse beendet. du hast einen BackDoor-CGZ trojan drauf. da das ein backdoor trojaner ist, ist dein system kompromittiert; es ist nicht mehr vertrauenswürdig. installiere windows neu und beachte diese Anleitung

Zitat:

Zitat von Chris14

:heulen: Danke!
Ich hab mal versucht alles durchzulesen was im Zusammenhang mit der Neuinstallation steht (Hab ich noch nie gemacht). Muss ich die Platte zuerst neu formatierten? Oder lege ich einfach die CD ein und installiere über das alte drüber? ich weiß, für euch sind das dumme Fragen.........

Yvonne

ne überhaupt net, die fragen sind berechtigt. nun ja, man sollte schon formatieren. am besten beachtest du diese Installationsanleitung

[QUOTE=Chris14]ne überhaupt net, die fragen sind berechtigt. nun ja, man sollte schon formatieren. am besten beachtest du diese Installationsanleitung[/QUOTE
:huepp: Na dann auf drauf und durch....
Erst mal DANKE!!!! für diese schnelle und freundliche Hilfe!!!! Ich habst in anderen Foren schon anders erlebt....
Melde mich wieder und berichte..
Gute N8..
Yvonne

Ich noch mal.
Eine Neuinstallation bietet mir doch jetzt auch die Chance, meine Platte zu partionieren. Wie groß sollte die Partition für das Betriebssystem, ich denke mal C:\ , sein. Ich habe eine 30 Giga Platte.
lg
Yvonne

ich bin der meinung, du solltest die festplatte in 2 partitionen aufteilen. also zwei 15gb partitionen^^

Zitat:

Zitat von Chris14

ne überhaupt net, die fragen sind berechtigt. nun ja, man sollte schon formatieren. am besten beachtest du diese Installationsanleitung

Vorwärts...wir marschieren zurück :heulen:
Jetzt wollte ich gemäss Ableitung XP neuinstallieren, nun ich habe nicht die Meldung im Bios, die in der Ableitung steht "Bios features setup" sondern
"Standard CMOS setup"
"Advanced CMOS setup" ???
lg
Yvonne

:lach: So, ich habs geschafft und anscheinend bin ich jetzt auch wieder frei von bösen Feinden. Neuinstallation usw..puh..
Ich danke nochmal herzlich für die nette Hilfe!!!! :knuddel:
Ich hätte jetzt nur noch gerne gewusst, was der beste Schutz (Programm) ist ?
Ich weiß, ganz sicher ist nix.....
LG
Yvonne