Hilfe
 

Hi, kann mir bitte jemand helfen?
ich bekomme von AntiVir dauernd die Meldung, daß verschiedenen Dateien die Signatur des Trojaners Agent.KT tragen. Ich lasse die betroffenen Dateien regelmäßig löschen, aber der Trojaner bleibt. Außerdem ist die Startseite meines Browsers nicht mehr änderbar, sondern lautet about:blank
Zu guter letzt meldet sich Windows beim Beenden mit toolbar.exe sofort beenden
Ich habe Windows 2000 als Betriebssystem und möchte vermeiden die Festplatte neu zu formatieren und sämtliche Programme und Daten neu zu installieren.
Gibt es eine Möglichkeit, den Trojaner zu entfernen?
Bin milde verzweifelt.

@Sunny1965
poste ein HJT logfile und poste den pfad von trojaner
direktdownload
anleitung
chaosman

Hi, danke für die superschnelle Antwort.
Habe die Logdatei angehängt.

Hi Sunny1965

kann sie nicht sehen :confused:

Habe sie jetzt in den Text kopiert

gfile of HijackThis v1.99.1
Scan saved at 11:21:05, on 21.02.2005
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\atiptaxx.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\sdkxw32.exe
C:\WINNT\System32\internat.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\wincmd\WINCMD32.EXE
C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\$wc\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2595ABDC-FD4D-B7C0-BC30-49FF6050FEEA} - C:\WINNT\addvy32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [winvo.exe] C:\WINNT\winvo.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sdkxw32.exe] C:\WINNT\system32\sdkxw32.exe
O4 - HKLM\..\RunOnce: [apigp32.exe] C:\WINNT\apigp32.exe
O4 - HKLM\..\RunOnce: [ipbl32.exe] C:\WINNT\system32\ipbl32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Security Service (NSS) (�%AF夶À¨) - Unknown owner - C:\WINNT\ntwm.exe (file missing)

scanne bitte Dein System mal mit eScann Beschreibung siehe unten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

http://www.cosgan.net/images/smilie/froehlich/c030.gif

Ich kann escan leider nicht herunterladen.
Es kommt immer die Meldung:
"Seite kann nicht angezeigt werden. Die gewünschte Seite ist zur Zeit nicht verfügbar."
Gibt es noch eine andere Downloadmöglichkeit?

probiere es hier

Gleiches Problem, bzw. das war genau die Seite wo ich den Download probiert habe.

ftp://mwti.matrix.lv/download/tools/
Die Datei mwav.exe herunterladen und weiter nach der Anleitung vorgehen.

@ Sunny1965
habe den Link probiert, funtioniert bei mir habe eher Probleme mit dem Link von Haui (Zeitüberschreitung)

@Gigamail
ich habe Probleme mit deinem Link, meiner funktioniert einwandfrei :blabla:

Danke, hab es.
Lass es jetzt laufen und melde mich anschließend wieder.

OT, aber das haben Männer schon seit Zeiten gesagt und sie wurden nie mehr gesehen. ;)

Der Update von escan hat nicht geklappt, im Fenster erscheint "initialize failure" und wenn ich mwavscan.exe ausführen möchte kommt die Meldung "Internal error".
Hat mir jemand einen Tipp?