Hilfe
 

Hi, kann mir bitte jemand helfen?
ich bekomme von AntiVir dauernd die Meldung, daß verschiedenen Dateien die Signatur des Trojaners Agent.KT tragen. Ich lasse die betroffenen Dateien regelmäßig löschen, aber der Trojaner bleibt. Außerdem ist die Startseite meines Browsers nicht mehr änderbar, sondern lautet about:blank
Zu guter letzt meldet sich Windows beim Beenden mit toolbar.exe sofort beenden
Ich habe Windows 2000 als Betriebssystem und möchte vermeiden die Festplatte neu zu formatieren und sämtliche Programme und Daten neu zu installieren.
Gibt es eine Möglichkeit, den Trojaner zu entfernen?
Bin milde verzweifelt.

@Sunny1965
poste ein HJT logfile und poste den pfad von trojaner
direktdownload
anleitung
chaosman

Hi, danke für die superschnelle Antwort.
Habe die Logdatei angehängt.

Hi Sunny1965

kann sie nicht sehen :confused:

Habe sie jetzt in den Text kopiert

gfile of HijackThis v1.99.1
Scan saved at 11:21:05, on 21.02.2005
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\atiptaxx.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\sdkxw32.exe
C:\WINNT\System32\internat.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\wincmd\WINCMD32.EXE
C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\$wc\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bsxqi.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2595ABDC-FD4D-B7C0-BC30-49FF6050FEEA} - C:\WINNT\addvy32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [winvo.exe] C:\WINNT\winvo.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sdkxw32.exe] C:\WINNT\system32\sdkxw32.exe
O4 - HKLM\..\RunOnce: [apigp32.exe] C:\WINNT\apigp32.exe
O4 - HKLM\..\RunOnce: [ipbl32.exe] C:\WINNT\system32\ipbl32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Security Service (NSS) (�%AF夶À¨) - Unknown owner - C:\WINNT\ntwm.exe (file missing)

scanne bitte Dein System mal mit eScann Beschreibung siehe unten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

http://www.cosgan.net/images/smilie/froehlich/c030.gif

Ich kann escan leider nicht herunterladen.
Es kommt immer die Meldung:
"Seite kann nicht angezeigt werden. Die gewünschte Seite ist zur Zeit nicht verfügbar."
Gibt es noch eine andere Downloadmöglichkeit?

probiere es hier

Gleiches Problem, bzw. das war genau die Seite wo ich den Download probiert habe.

ftp://mwti.matrix.lv/download/tools/
Die Datei mwav.exe herunterladen und weiter nach der Anleitung vorgehen.

@ Sunny1965
habe den Link probiert, funtioniert bei mir habe eher Probleme mit dem Link von Haui (Zeitüberschreitung)

@Gigamail
ich habe Probleme mit deinem Link, meiner funktioniert einwandfrei :blabla:

Danke, hab es.
Lass es jetzt laufen und melde mich anschließend wieder.

OT, aber das haben Männer schon seit Zeiten gesagt und sie wurden nie mehr gesehen. ;)

Der Update von escan hat nicht geklappt, im Fenster erscheint "initialize failure" und wenn ich mwavscan.exe ausführen möchte kommt die Meldung "Internal error".
Hat mir jemand einen Tipp?

Versuch einfach nochmal den Link von mir, wie schon gesagt habe vorhin erst probiert, hat funktioniert ;)

Hi Gigamail
Ich krieg den Link nicht auf. Habs jetzt auch von meinem alten Computer aus probiert, hab den DSL-Router umgangen und habe mich direkt eingewählt, nichts funktioniert. Wenn ich Haare hätte, würde ich sie mir raufen ;-)

so hier noch ein Link
vielleicht klappt es ja bei den Russen ;)

Hi nochmal,
diesmal hat es geklappt (sag noch mal einer was gegen die Russen). Download und Update sind fertig.
Hoffentlich klappt jetzt auch der Scan.
Melde mich wieder
:daumenhoc

Hi Gigamail,
der Scan läuft noch. In der Anleitung steht, die in der Virus Log Information aufgezählten Dateien löschen. Kann ich dabei irgendwas kaputt machen, bzw. muß ich sonst noch was unternehmen?

Wenn du nicht an einem anderen PC sitzt, hast du schon etwas falsch gemacht. -> eScan muss im abgesicherten Modus laufen!

poste das Ergebnis erst mal hier rein

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) :daumenhoc

ok. hier die LOG-Daten:

Mon Feb 21 18:50:04 2005 => ***** Scanning complete. *****
Mon Feb 21 18:50:04 2005 => Total Files Scanned: 34495
Mon Feb 21 18:50:04 2005 => Total Virus(es) Found: 7
Mon Feb 21 18:50:04 2005 => Total Disinfected Files: 0
Mon Feb 21 18:50:04 2005 => Total Files Renamed: 0
Mon Feb 21 18:50:04 2005 => Total Deleted Files: 0
Mon Feb 21 18:50:04 2005 => Total Errors: 10
Mon Feb 21 18:50:04 2005 => Time Elapsed: 00:36:03
Mon Feb 21 18:50:04 2005 => Virus Database Date: 2005/02/21
Mon Feb 21 18:50:04 2005 => Virus Database Count: 119026

Mon Feb 21 18:50:04 2005 => Scan Completed.


File C:\WINNT\addvy32.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\sdkxw32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\msAutoUpdates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\system32,1.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\ypnwrwxxbyugatqnr.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Alexander Schiller\Lokale Einstellungen\Temp\ypnwrwxxbyugatqnr.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\system32,1.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> System neu aufsetzen
Lutz über Datensicherung (auf ausführbare Dateien solltest du jedoch ganz verzichten)

sorry :(

auf den hab ich noch gewartet. Leider musst Du das System Neuaufsetzen. Lese dazu mal die Link's
Backdoor Info

Hilfe für's Neuaufsetzen

und lese auch mal über Kompromittierung

Sag doch sowas nicht.
Reicht es nicht, die betroffenen Dateien zu löschen?
Wenn ich das ganze System neu installieren muß, wächst mir ja ein Bart.

Über die Entfernung von Schädlingen.

Tja, dann weiß ich ja, was ich die nächsten Tage zu tun habe.
Danke euch allen. :heulen: :heulen: