TR/Agent khfdebb.dll
 

Hallo liebe Helfer,

ich habe den AntiVir Freeware auf meinen Rechner installiert und der bringt folgende Meldung:

Achtung Fund! Auf Ihrem Computer wurde ein Virus oder unerwünschtes Programm gefunden.

C:\WINDOWS\systems32\khfdebb.dll
Ist das Trojanische Pferd TR/Agent.37376

AntiVir kann diese Datei nicht löschen.
Ich habe es noch mit Spybot Search & Destroy versucht zu löschen bzw. in Quarantäne zu verschieben, aber es funktioniert nicht.
Ich habe auch Hickjacker versucht, aber auch das funktioniert nicht.
Diese dll -Datei ist weiterhin vorhanden..
Als ich es versucht habe, direkt zu löschen, kam die Meldung, dass diese Datei gerade verwendet wird und somit nicht gelöscht werden kann. Weiß leider nicht, wie ich diese dll-Datei beenden kann, damit ich sie löschen kann.

Hat jemand vielleicht einen Tipp was ich machen kann?

Vielen Dank für Eure Hilfe :-)

Viele Grüße
Andreea

Hallo.

Werte die Datei C:\WINDOWS\systems32\khfdebb.dll mal bei Virustotal aus und poste die Ergebnisse inkl. Angaben zu Dateigröße und Prüfsummen.

Hijackthis löscht auch keine Dateien, es ist dafür gedacht bestimmte Systembereiche zu überprüfen und ein Logfile zu erstellen. Erstell ein Logfile mit dieser umbenannten hijackthis.exe und poste es, dann sehen wir weiter.

Hallo Cosinus,

Vielen Dank für die rasche Antwort. Also ich hab es bei Virustotal.de gecheckt, aber da kam folgende meldung:

MD5: 6f459298a5b88418119aed85923412c2
Date: 12.03.2007 14:28:03 (CET) [>15D]
Results: 23/32
Permalink: resultado.html?e799807a7ec9f355365f1e5a51c425ca

Hier noch die Hijackthis- Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:48:58, on 18.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\TOOLS\Adobe Acrobat Prof\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wuauclt.exe
D:\TOOLS\ipod\bin\iPodService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andy\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\TOOLS\Adobe Acrobat Prof\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\TOOLS\Adobe Acrobat Prof\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?7b9b92a70fd24533bda840fc5c3d7ce2
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?7b9b92a70fd24533bda840fc5c3d7ce2
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {3D58ADF1-2986-4B11-AA79-6D427F004F08} - MEDIONshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1111000070881
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\TOOLS\ipod\bin\iPodService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



So, hoffe, die Infos bringen etwas :-) Vielen Dank!

VL G,
Andreea

Das bedeutet, dass ein und dieselbe Datei schonmal ausgewertet wurde, und der Scanvorgang nicht nochmal gemacht werden muss... => VirusTotal - Kostenloser online Viren- und Malwarescanner - Ergebnis

Die Datei kannst du so löschen:
1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Führ danach mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* eScan
* Silentrunners
* combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hier die Logfiles.. Hab sie alle verlinkt, weil es leider nicht anders ging. die Combofix.exe konnte ich nicht ausführen, weil die Fehlermeldung kam, es sei keine Win32-Andwendung...

http://www.file-upload.net/download-564211/avenger.txt.html
http://www.file-upload.net/download-564217/MWAV.LOG.html
http://www.file-upload.net/download-564222/fsbl-20071218213412.log.html
http://www.file-upload.net/download-564224/Startup-Programs--ANDREEA--2007-12-19-14.32.40.txt.html

http://www.file-upload.net/download-564196/listing.txt.html

So, hoffe, dass hilft weiter :-)))

Viele Grüße,
Andreea

Ja, das passiert in letzer Zeit leider häufiger dass der Link dort tot ist :headbang: Nimm diesen zum combofix. Ich schau mir derweil mal die anderen Logs an.

Hm...die Datei konnte er nicht löschen. Ist die vllt. schon entfernt worden? Sieht jedenfalls danach aus.

Das MWAV-Logfile musst du mit Hilfe der FIND.BAT "filtern", sodass nur relevante Einträge zu sehen sind. Lies dir bitte nochmal die Escan-Anleitung mit dem Teil zur find.bat durch.

Blacklight hat nichts gefunden, das ist schonmal ok.

Zum Filelisting und Silentrunners, da hab ich ein paar Objekte gesehen, die du auch mit dem Avenger löschen müsstest. Geh einfach wie vorhin mit dem Avenger um, nur diesmal diesen Text hineinkopieren:

Danach wieder Rechner neustarten und das Avenger-Log posten. Die Datei c:\avenger\backup.zip solltest du danach Problemlos löschen können.

Wenn du willst, kannnst auch noch diese Ordner löschen, das sollte manuell gehen:

Hallo Arne,

also leider konnte ich diesen combofix wieder nicht installieren, weil irgendwie die Meldung kam, dass die Gültigkeit der Kopie abgelaufen ist.. Mann, irgendwie ist der combofix verlfixt ;-)))

Ja, du hast Recht... Ist irgendwie doch gelöscht..

Hier die AVenger Logfiles:
Und hier nochmal das Logfile von EScan:
Die ordner von AVGUARD hab ich auch gelöscht...
Sind das eigentlich Viren, die der EScan anzeigt? Hab irgendwo gelesen, dass nur alt FAKE-Meldungen sein sollen.. Was meinst du???

Viele Grüße und vielen Dank für deine Geduld :-))

Andreea

Escan sieht okay aus. Das Programm erzeugt leider rel. viele Fehlalarme. Ich bin mir jetzt nur nich sicher, ob die anderen Dateien bei dir auch erwischt wurden vom Avenger. Mach daher nochmal zur Überprüfung ein frisches Filelisting, lösch das evtl. noch auf dem Desktop liegende listing.txt, führ dann nochmal die listing7.cmd aus und lad dann das neue listing.txt wieder bei file-upload.net hoch.

Hallo Arne,

also ich hab das Porgramm nochmal durchlaufen lassen und anbei findest du den Link:

http://www.file-upload.net/download-571917/listing.txt.html

So, dann wünsch ich dir schöne Feiertage und nochmals Daaaaaanke schööööön! :-)

VG,
Andreea

Ein paar Dateien können noch weg, ein paar Dateien hast du im Avenger anscheinend auch nicht angegeben, also nochmal. Mach aber temporär den Virenscanner aus, um sicherzugehen, dass der da nicht zwischenpfuscht. Öffne dann den Avenger und kopier diesen Text rein, der Rest wie vorher:

Grüne Ampel, Rechner wieder neustaren und das Avenger-Log bitte posten.

Danach kannst du manuell einige Dateien löschen:

1. Klick auf Start, Ausführen
2. Tipp cmd ein und bestätige mit ok - das schwarze Konsolenfenster öffnet sich
3. Tipp diesen Befehl ein und bestätige mit Enter:

Mach danach wieder ein frisches Filelisting und verlink es hier wie gehabt.

Hallo Arne,

also hier der Avenger.txt Datei:

Und hier nochmal ein neues Filelisting:
http://www.file-upload.net/download-574141/listing.txt.html

Viele Grüße,

Andreea